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opțional: ethtool. 
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/etc/exports. 
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exemplu: server autoritativ primar. 
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Capitolul 1. generalități networking 


în timp ce acest capitol nu este pus în legătură direct cu Linux, el conține 
concepte generale de rețea care vă vor ajuta în depanarea rețelelor pe Linux. 


1.1. straturi network 
1.1.1. şapte straturi OSI 


Cînd vorbesc despre stratificarea protocolului, oamenii de obicei menționează 
şapte straturi ale protocolului OSI (Aplicaţie, Prezentare, Sesiune, Transport, 
Network, DataLink şi Fizic). Vom discuta stratele 2 şi 3 în adîncime, şi ne vom 
focaliza mai puțin pe celelalte straturi. Motivul este că aceste straturi sînt 
importante pentru înțelegerea rețelelor. Veţi auzi administratori folosind 
cuvinte ca „acesta este un dispozitiv strat 2” sau „acesta este un broadcast 
strat 3”, şi ar trebui să fiți capabil să înțelegeți despre ce anume vorbesc ei. 


1.1.2. patru straturi DoD 


Modelul DoD (sau tcp/ip) are doar patru straturi, mapînd aproximativ stratul de 
acces network la straturile OSI 1 şi 2 (Fizic şi Datalink), stratul internet 
(IP) către rețeaua stratificată OSI, stratul host-to-host (gazdă-la-gazdă) (tcp, 
udp) la stratul 4 OSI (transport) şi stratul aplicaţie la stratele OSI 5, 6 şi 
7. 


Mai jos este o încercare de a pune straturile OSI şi DoD lîngă unele protocoluri 
şi dispozitive. 


OSI Model DoD Model protocols devices/apps 


dns, dhcp, ntp, web server, 
snmp, https, ftp, mail server, 
| 3047 licat 
su pd bile ssh, telnet, http, browser, 
pop3... others mail client... 


ip, icmp, igmp router, firewall 
layer 3 switch 
layer 2 arp (mac), rarp bridge 
network layer 2 switch 
access 
ethernet, token ring 
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1.1.3. scurtă introducere la stratul fizic 


în stratul fizic, sau stratul 1 (layer 1), este vorba despre voltaje, semnale 
electrice şi conexiuni mecanice. Unele rețele încă pot folosi cabluri coaxiale, 
dar cele mai multe au migrat la utp (cat 5 sau mai bun) cu conectori rj45. 
Dispozitive ca relee şi huburi sînt parte a acestui strat. Nu puteţi folosi 
software pentru a „vedea” un releu sau hub pe rețea. Singurul lucru pe care 
aceste dispozitive îl fac este să amplifice semnalul electric în cabluri. 
Huburile pasive sînt amplificatori multiport care amplifică un semnal electric 
care intră pe toate celelalte conexiuni. Huburile active fac asta citind şi 
retransmițînd biți, fără a interpreta nici un înţeles în acei biţi. 


Tehnologii network ca csma/cd şi semnal inelar (token ring) sînt definite în 
acest strat. 


Asta e tot ce avem de spus despre stratul 1 (layer 1) în această carte. 

1.1.4. scurtă introducere la stratul data link 

În stratul data link, sau layer 2 (stratul 2) este vorba despre construcții. 0 
construcţie are un crc (căutare redundantă ciclică). în cazul ethernet (802.3), 
fiecare placă de reța este identificabilă de către o adresă unică mac (adresă de 
control de acces media) de 48 de biți. 

Pe acest strat găsim dispozitive ca bridges (punți) şi switches (comutatori). Un 
bridge este mai inteligent decît un hub deoarece un bridge poate face decizii 
bazîndu-se pe adresa mac a computerelor. Un switch înțelege de asemeni adrese 
mac. 


În această carte vom discuta comenzi ca arp şi ifconfig pentru a explora acest 
strat. 


1.1.5. scurtă introducere la stratul network 

în layer 3 (stratul 3) este vorba despre pachete ip. Acest strat dă fiecărei 
gazde o adresă ip unică de 32 de biți. Dar ip nu este singurul protocol în acest 
strat, există de asemeni icmp, igmp, ipv6 şi altele. 0 listă completă poate fi 
găsită în fişierul /etc/protocols. 


Pe acest strat găsim dispozitive ca rutere şi switchuri layer 3, dispozitive 
care ştiu (şi au) o adresă ip. 


în tcp/ip la acest strat se obişnuieşte să se facă referire la stratul internet 
(internet layer). 


1.1.6. scurtă introducere la stratul de transport 


Vom discuta protocolurile tcp şi udp în contextul stratului 4. Modelul DoD 
numeşte asta stratul host-to-host (gazdă-la-gazdă). 


1.1.7. straturile 5, 6 şi 7 


Stratul de aplicaţie tcp/ip includ straturile 5, 6, şi 7. Detaliile despre 
diferențe între aceste straturi sînt în afara scopului acestui curs. 


1.1.8. straturile network în această carte 
Straturile network în această carte sînt bazate pe explicația Protocols in Frame 


(Protocoluri în Construcție) în interceptorul wireshark. Cînd interceptăn un 
pachet dhcp, observăm următoarele în interceptor. 
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[Protocols în Frame: eth:ip:udp:bootp] 


Interceptînd pachete ntp (Network Time Protocol) ne dă o linie, care ne face să 
concluzionăm să punem ntp alături de bootp în schema protocolului de mai jos. 


[Protocols în Frame: eth:ip:udp:ntp] 


Interceptînd un broadcast arp ne face să punem arp lîngă ip. Toate aceste 
protocoluri sînt explicate mai tîrziu în acest capitol. 


[Protocols în Frame: eth:arp] 


Mai jos este o hartă protocol bazată pe cunoaşterea wireshark. Conține unele 
dintre cele mai comune protocoluri care sînt discutate în această carte. Harta 


nu conține toate protocolurile. 
SMTP POP3 DHCP 
BOOTP 


Ethernet 
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1.2. unicast, multicast, broadcast, anycast 
1.2.1. unicast 
O comunicare unicast îşi are originea de la un computer şi este destinată exact 


unui singur alt computer (sau gazdă). Este un lucru obişnuit pentru computere să 
aibă multe comunicări unicast. 
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1.2.2. multicast 


O comunicare multicast este destinată unui grup (de computere). 


Cîteva exemple de multicast sînt Realplayer (fişiere .sdp) şi ripv2 (un protocol 
de rutare). 
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1.2.3. broadcast 


Un broadcast este făcut pentru toată lumea. 


Un exemplu tipic aici este BBC (British Broadcasting Corporation) transmițînd 
oricui. În comunicările de date un broadcast este în mod comun limitat la lan. 


Fiți cu băgare de seamă, un broadcast layer 2 este foarte diferit de un 
broadcast layer 3. Un broadcast layer 2 este recepționat de către toate plăcile 
network pe acelaşi segment (nu trece prin nici un ruter), dar un broadcast layer 
3 este recepționat de toate gazdele în acelaşi subnet ip. 
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1.2.4. anycast 


Serverele root name din internet folosesc anycast. Un semnal anycast trece prin 
cel mai apropiat grup bine definit (geografic). 


Mulţumim colaboratorului anonim de pe wikipedia care a pus aceste desene în 
domeniul public. 
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1.3. lan-wan-man 


Termenul lan este folosit pentru local area networks (zona rețelei locale), în 
opoziție cu un wan - wide area networks (zona rețelei largi). Diferența dintre 
cei doi termeni este determinată de distanța dintre computere, şi nu de numărul 
de computere dintr-o rețea. Unele protocoluri ca atm sînt făcute pentru 
utilizare într-un wan, altele ca ethernet sînt făcute pentru a fi folosite într- 
un lan. 


1.3.1. lan 


Un lan (Local Area Network) este o rețea locală. Asta poate fi o singură cameră, 
sau un etaj, sau chiar o clădire mare. Numim lan atîta timp cât computerele sînt 
aproape unul de altul. Putem să definim lan, de asemeni, cînd toate computerele 
sînt conectate ethernet. 


Un lan poate conține mai multe lan-uri mai mici. Desenul de mai jos arată trei 
lan-uri care împreună fac un singur lan. 


developers lan 
research lan 


server lan router (or switch) 


1.3.2. man 


Un man (Metropolitan Area Network) (Zonă de Reţea Metropolitană) este ceva între 
un lan şi un wan, deseori cuprinzînd mai multe clădiri în acelaşi campus sau în 
acelaşi oraş. Un man poate folosi fddi sau ethernet sau alte protocoluri pentru 
conectivitate. 


1.3.3. wan 

Un wan (Wide Area Network) (Zonă de Reţea Largă) este o rețea cu o mare distanță 
între computere (sau gazde). Aceste gazde sînt deseori conectate prin linii 
închiriate. Un wan nu utilizează ethernet, ci protocoluri ca fddi, frame relay, 
ATM sau X.25 pentru a conecta computere (şi reţele). 


Desenul de mai jos arată un birou branşă care este conectat prin intermediul 
Frame Relay cu administrație centrală. 
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Frame Relay Cloud 


Acronimul wan este de asemeni utilizat pentru reţele de suprafață mari ca 
internetul. 


Cisco este cunoscut pentru tehnologia lor wan. Ei fabrică rutere care conectează 
multe rețele lan folosind protocolurile wan. 


1.3.4. pan-wpan 


Rețeaua dumneavoastră de acasă este numită un pan (Personal Area Network) (Zonă 
de Reţea Personală). Un pan wireless este un wpan. 


1.4. internet-intranet-extranet 


Internetul este o rețea globală. El conectează multe rețele folosind protocolul 
stivă tcp/ip. 


Originea internetului este arpanet. Arpanet a fost creat în 1969, în acel an 
doar 4 computere erau conectate în rețea. În 1971 primul e-mail a fost trimis în 
arpanet. E-mail-ul a luat 75 la sută din tot traficul arpanet în 1973. 1973 a 
fost de asemeni anul în care ftp a fost introdus, şi a văzut conectarea primelor 
ţări europene (Norvegia şi Anglia). În 2009 internetul a fost disponibil la 25 
la sută din populația lumii. În 2011 este estimat că doar un sfert din paginile 
web internet sînt în limba engleză. 


Un iîntranet este o rețea privată tcp/ip. Un intranet foloseşte aceleaşi 
protocoale ca internetul, dar este accesibil doar oamenilor din interiorul unei 
organizații. 


Un extranet este similar cu un iîntranet, dar unele organizații trust 
(parteneri/clienți/furnizori/..) au acces la fel. 


1.5. tcp/ip 
1.5.1. istoria tcp/ip 


în anii '60 dezvoltarea stivei protocol tcp/ip a fost început de către 
Departamentul Apărării al S.U.A. în anii '80 multe dintre companiile comerciale 
au dezvoltat propria lor stivă protocol: IBM a creat sna, Novell a avut ipx/spx, 
Microsoft a terminat netbeui şi Apple a lucrat cu appletalk. Toate eforturile 
din anii '80 au eşuat să supraviețuiască anilor '90. La sfîrşitul anilor '906, 
aproape toate computerele din lume erau capabile să vorbească în limbajul 
tcp/ip. 
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în opinia mea umilă, motivul principal pentru supraviețuirea tcp/ip deasupra 
tuturor altor protocoluri este deschiderea lui. Oricine este liber să dezvolte 
şi să folosească suita protocol tcp/ip. 


1.5.2. rfc (request for comment) 


Protocolurile care sînt utilizate pe internet sînt definite de rfc-uri. Un rfc 
sau request for comment descrie mersul intern al tuturor protocolurilor 
internet. IETF (Internet Engineering Task Force) este singurul editor al acestor 
protocoluri din 1986. 


Site-ul oficial al rfc este http://wmwu.rfc-editor.org. Acest website conține 
toate rfc-urile în format text, de exemplu rfc2132 (care defineşte dhcp şi 
bootp) este accesibil la http://wmw.rfc-editor.org/rfc/rfc2132.txt. 

1.5.3. multe protocoluri 

Pentru conexiuni stabile, folosiți tcp, în schimb udp este fără conexiuni dar 
mai rapid. Mesajele de eroare icmp sînt folosite de ping, grupurile multicast 
sînt aranjate de igmp. 


Aceste protocoluri sînt vizibile în cîmpul protocol al ip header, şi sînt 
listate în fişierul /etc/protocols. 


pauledebian5:-$ grep tcp /etc/protocols 
tcp 6 TCP 4 transmission control protocol 


1.5.4. multe servicii 


Plăcile de reța sînt identificate în mod unic de către adresa lor mac, numele de 
maşini de către adresa ip şi aplicațiile după numărul de port. 


Aplicațiile comune de nivel protocol ca smtp, http, ssh, telnet şi ftp au numere 
de port fixe. Există o listă a numerelor porturilor în /etc/services. 


paulubul010:-$ grep ssh /etc/services 


ssh 22/tcp 4 SSH Remote Login Protocol 
ssh 22 /udp 
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Capitolul 2. configurare interfață de rețea 


Acest capitol explică cum să configurăm plăcile interfaţă de reţea să lucreze cu 
tcp/ip. 


2.1. să folosim GUI sau să nu folosim GUI 

Distribuții recente Linux deseori includ o aplicație grafică pentru a configura 

rețeaua. Unii oameni se plîng că aceste aplicații încurcă configurările network 

cînd sînt utilizate simultan cu configurările de la terminal. În special Network 
Manager (deseori înlocuit cu wicd) şi yast sînt cunoscute pentru faptul că nu au 
grijă de schimbările configurației prin terminal. 


Pentru că țelul acestui curs este administrarea server, vom asuma că serverele 
noastre Linux sînt întotdeauna administrate prin terminal. 


Acest capitol se focalizează doar pe utilizarea terminalului pentru configurarea 
interfeţei de rețea! 


Din nefericire nu există o singură combinație de comenzi Linux şi fişiere /etc 
care să funcționeze pe toate distribuțiile Linux. Vom vorbi despre rețea pe două 
(mari dar distincte) familii de distribuții Linux. 


Începem cu Debian (asta ar trebui de asemeni să funcționeze pe Ubuntu şi Mint) 
apoi vom continua cu RHEL (care e identic cu CentosS şi Fedora). 


2.2. configurare nic pe Debian 
2.2.1. /etc/network/interfaces 


Fişierul /etc/network/interfaces este un nucleu de configurare fişier a plăcii 
de rețea network pe Debian. 


client dhcp 


Captura de ecran de mai jos arată că computerul nostru este configurat pentru 
dhcp pe etho (prima placă interfață rețea sau nic). 


pauledebian8:-$ cat /etc/network/interfaces 
4 This file describes the network interfaces available on your system 
+ and how to activate them. For more information, see interfaces(5). 


+ The loopback network interface 
auto lo 
iface lo inet loopback 


auto etho 
iface etho inet dhcp 


Configurarea plăcilor de rețea pentru dhcp este o practică bună pentru clienţi, 
dar serverele de obicei cer o adresă ip fixă. 


ip fix 


Captura de ecran de mai jos arată /etc/network/interfaces configurat cu o adresă 
ip fixă. 
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rootâdebian7-4 cat /etc/network/interfaces 


auto lo 
iface lo inet loopback 
auto  etho 


iface etho inet static 
address 10.42.189.198 
broadcast  10.42.189.207 
netmask 255.,255.255.240 
gateway 10.42.189.193 


Captura de ecran de mai sus de asemeni arată că puteți face mai multe 
configurații decît doar adresa ip. Vedeți interfaces(5) pentru ajutor pentru 
setarea unui gateway, netmask (mască de rețea) sau orice alte opțiuni. 


2.2.2. /sbin/ifdown 


Este bine (dar nu obligatoriu) să deconectăm o interfață înainte de a-i schimba 
configurarea. Asta poate fi făcut cu comanda ifdown. 


Comanda nu va da nici un semnal cînd dăm jos o interfaţă cu o adresă ip fixă. 
Oricum ifconfig nu va mai arăta deloc interfața. 


rootâubul1l04srv:-t ifdown etho 
rootâubull04srv:-t ifconfig 
lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:106 errors:0 dropped:0 overruns:0 frame:0 
TX packets:106 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:11162 (11.1 KB) TX bytes:11162 (11.1 KB) 


O interfaţă care este deconectată nu poate fi folosită să ne conectăm la reţea. 
2.2.3. /sbin/ifup 
Mai jos este o captură de ecran a ifup care aduce interfața ethernet etho la 


viață folosind dhcp. (Observaţii că acesta e un screenshot Ubuntu 10.10, Ubuntu 
11.04 omite ieşirea ifup prin default). 
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rootâubul010srv: /etc/networkt ifup etho 

Internet Systems Consortium DHCP Client V3.1.3 

Copyright 2004-2009 Internet Systems Consortium. 

ALI rights reserved. 

For info, please visit https://www.isc.org/software/dhcp/ 


Listening on LPF/etho/08:00:27:cd:7f:fc 

Sending on LPF/etho/08:00:27:cd:7f:fc 

Sending on Socket/fallback 

DHCPREQUEST of 192.168.1.34 on eth0 to 255.255.255.255 port 67 
DHCPNAK from 192.168.33.100 

DHCPDISCOVER on etho to 255.255.255.255 port 67 interval 3 
DHCPOFFER of 192.168.33.77 from 192.168.33.100 

DHCPREQUEST of 192.168.33.77 on etho to 255.255.255.255 port 67 
DHCPACK of 192.168.33.77 from 192.168.33.100 

bound to 192.168.33.77 -- renewal in 95 seconds. 

ssh stop/waiting 

ssh start/running, process 1301 

rootQubulO10srv: /etc/network4 


Detalii despre dhcp sînt discutate pe larg într-un capitol separat în cursul 
Servere Linux. 


2.3. configurare nic RHEL 
2.3.1. /etc/sysconfig/network 


Fişierul /etc/sysconfig/network este un fişier (de-a lungul tuturor plăcilor de 
rețea) de configurare global. El ne permite să definim dacă vrem reţea 
(NETWORKING=yes | no), care ar trebui să fie numele maşinii (HOSTNAME=) şi care 
gateway să utilizăm (GATEWAY=). 


[rooterhel6 -]t+ cat /etc/sysconfig/network 
NETWORKING=yes 

HOSTNAME=rhe1l6 

GATEWAY=192.168.1.1 


Există o duzină de mai multe opţiuni setabile în acest fişier, detalii pot fi 
găsite în /usr/share/doc/initscripts-*/sysconfig.txt. 


Notați că acest fişier nu conține nici o setare deloc într-o instalare default 
RHEL7 (cu rețeaua pornită). 


[rooterhel7i -]t cat /etc/sysconfig/network 
4 Created by anaconda 


2.3.2. /etc/sysconfig/network-scripts/ifcfg- 

Fiecare placă de reţea poate fi configurată individual folosind fişierele 
/etc/sysconfig/network-scripts/ifcfg-*. Cînd deţineţi doar o singură placă de 
rețea, atunci aceasta va fi probabil /etc/sysconfig/network-scripts/ifconfig- 
etho. 

client dhcp 

Mai jos este un screenshot al /etc/sysconfig/network-scripts/ifcfg-etho 


configurat pentru dhcp (BOOTPROTO="dhcp"). Notați de asemeni parametrul 
NM_CONTROLLED pentru a anula controlul acestui nic de către Network Manager. 
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Acest parametru nu este explicat (nici măcar menționat) în 
/usr/share/doc/initscripts-*/sysconfig.txt, dar multe altele sînt explicate. 


[rooterhel6 -]t cat /etc/sysconfig/network-scripts/ifcfg-etho 
DEVICE="etho" 

HWADDR="08:00:27:DD:0D:5C" 

NM_CONTROLLED="no" 

BOOTPROTO="dhep" 

ONBOOT="yes" 


Variabila BOOTPROTO poate să fie setată la dhcp sau bootp, orice altceva va fi 
considerat static asta însemnînd că nu ar trebui să fie nici un protocol folosit 
în timpul butării pentru a seta valoarea interfeţei. 


RHEL7 adaugă variabile ipv6 la acest fişier. 


[rooterhel7i network-scripts]t cat ifcfg-enp0s3 
TYPE="Ethernet" 

BOOTPROTO="dhep" 

DEFROUTE="yes" 

PEERDNS="yes" 

PEERROUTES="yes" 

IPV4_FAILURE_FATAL="no" 

IPV6INIT="yes" 

IPV6_AUTOCONF="yes" 

IPV6_DEFROUTE="yes" 

IPV6_PEERDNS="yes" 

IPV6_PEERROUTES="yes" 
IPV6_FAILURE_FATAL="no" 

NAME="enp0s3" 
UUID="9fa6a83a-2f8e-4ecc-962c-5f614605f4ee" 
DEVICE="enpOs3" 

ONBOOT="yes" 

[rooterhel71 network-scripts]t 


ip fix 


Mai jos este un screenshot a unei configurații ip fix în /etc/sysconfig/network- 
scripts/ifcfg-etho. 


[rooterhel6 -]+ cat /etc/sysconfig/network-scripts/ifcfg-etho 
DEVICE="etho" 

HWADDR="08:00:27:DD:0D:5C" 

NM_CONTROLLED="no" 

BOOTPROTO="none" 

IPADDR="192.168.1.99" 

NETMASK="255.,255.255.0" 

GATEWAY="192.168.1.1" 

ONBOOT="yes" 


HWADDR poate fi folosit pentru a fi siguri că fiecare placă de reţea obține 
numele corect cînd mai multe plăci de rețea sînt prezente în computer. Nu poate 
fi utilizată pentru a desemna o adresă mac unei plăci de rețea. Pentru asta, 
trebuie să specificaţi variabila MACADDR. Nu utilizați HWADDR şi MACADDR în 
acelaşi fişier ifcfg-ethx. 


Parametrii BROADCAST= şi NETWORK= din versiunile anterioare RHEL/Fedora sînt 
învechite. 
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2.3.3. nmcli 


Pe RHEL7 ar trebui să rulați nmcli connection reload dacă aţi schimbat fişiere 
de configurare în /etc/sysconfig pentru a activa schimbările pe care le-aţi 
făcut, 


Unealta nmcli are multe opţiuni de a configura reţeaua pe linia de comandă în 
RHEL7/CentoOS7. 


man nmcli 
2.3.4. nmtui 


O altă recomandare pentru RHEL7/CentOS7 este să folosiți nmtui. Această unealtă 
va folosi o interfață fereastră în linia de comandă pentru a aranja interfețele 
de rețea. 


nmtui 
2.3.5. /sbin/ifup şi /sbin/ifdown 


Comenzile ifup şi ifdown vor seta o interfață deschisă sau închisă, utilizînd 
configurația discutată mai sus. Acestea sînt identice în comportarea lor pe 
Debian şi Ubuntu. 


[rooterhel6 -]4 ifdown etho && ifup etho 
[rooterhel6 -]t ifconfig etho 
etho Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:fedd:d5c/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:2452 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1881 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:257036 (251.0 KiB) TX bytes:184767 (180.4 KiB) 


2.4. ifconfig 
Utilizarea comenzii /sbin/ifconfig fără nici un argument va afişa o listă a 


tuturor plăcilor de rețea active, incluzînd interfețele wireless şi loopback. În 
captura de ecran de mai jos etho nu are nici o adresă ip. 
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rootQubul010:-4 ifconfig 

etho Link encap:Ethernet HWaddr 00:26:bb:5d:2e:52 
UP BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 
Interrupt:43 Base address:0xe000 


ethl Link encap:Ethernet HWaddr 00:26:bb:12:7a:5e 
inet addr:192.168.1.30 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::226:bbff:fe12:7a5e/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:11141791 errors:202 dropped:0 overruns:0 frame:11580126 
TX packets:6473056 errors:3860 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:3476531617 (3.4 GB) TX bytes:2114919475 (2.1 GB) 
Interrupt:23 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:2879 errors:0 dropped:0 overruns:0 frame:0 
TX packets:2879 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:486510 (486.5 KB) TX bytes:486510 (486.5 KB) 


Puteți de asemeni utiliza ifconfig pentru a obține informații despre doar o 
singură placă de reţea. 


[rooterhel6 -]t ifconfig etho 
etho Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:fedd:d5c/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:2969 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1918 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:335942 (328.0 KiB) TX bytes:190157 (185.7 KiB) 


Cînd /sbin nu este în $PATH a unui utilizator obişnuit trebuie să tastați calea 
absolută, cum se vede aici pe Debian. 


pauledebian5:-$ /sbin/ifconfig eth3 
eth3 Link encap:Ethernet HWaddr 08:00:27:ab:67:30 
inet addr:192.168.1.29 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:feab:6730/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:27155 errors:0 dropped:0 overruns:0 frame:0 
TX packets:30527 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:13095386 (12.4 MiB) TX bytes:25767221 (24.5 MiB) 
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2.4.1. up şi down 


Puteți de asemeni folosi ifconfig pentru a închide sau deschide o interfață. 
Diferența cu ifup este că ifconfig etho up va re-activa nic-ul păstrând 
configurația (curentă) existentă, însă ifup va citi fişierul corect care conține 
o configurație (posibil nouă) şi va utiliza acest fişier de configurare pentru a 
deschide interfața. 


[rooterhel6 -]t+ ifconfig etho down 

[rooterhel6 -]4 ifconfig etho up 

[rooterhel6 -]t ifconfig etho 

etho Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:fedd:d5c/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:2995 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1927 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:339030 (331.0 KiB) TX bytes:191583 (187.0 KiB) 


2.4.2. setarea adresei ip 


Puteţi seta temporar o adresă ip cu ifconfig. Această adresă ip este validă doar 
pînă la următorul ciclu ifup/ifdown sau pînă la următorul reboot. 


[rooterhel6 -]+ ifconfig etho | grep 192 

inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 
[rooterhel6 -]4+ ifconfig etho 192.168.33.42 netmask 255.255.0.0 
[rootârhel6 -]+ ifconfig etho | grep 192 

inet addr:192.168.33.42 Bcast:192.168.255.255 Mask:255.255.0.0 
[rooterhel6 =] ifdown etho && ifup etho 
[rootârhel6 -]+ ifconfig etho | grep 192 

inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 


2.4.3. setarea adresei mac 


Puteți de asemeni folosi ifconfig pentru a seta o altă adresă mac decît cea 
codată în placa de rețea. Acest sceenshot arată cum. 


[rooterhel6 -]+ ifconfig etho | grep HWwaddr 

etho Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
[rooterhel6 -]4 ifconfig etho hw ether 00:42:42:42:42:42 
[rooterhel6 -]+ ifconfig etho | grep HWaddr 

etho Link encap:Ethernet HWaddr 00:42:42:42:42:42 


2.5. ip 
Unealta ifconfig este învechită pe unele sisteme. Folosiţi unealta ip în schimb. 


Pentru a vedea adrese pe RHEL7 de exemplu, folosiți această comandă: 


28 


[rooterhelri -|t ip a 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 

inet 127.0.0.1/8 scope host lo 

valid_lft forever preferred_Ilft forever 

inet6 ::1/128 scope host 

valid_lft forever preferred_Ilft forever 

2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_ fast state UP 
qlen 1000 

link/ether 08:00:27:89:22:33 brd ff:ff:ffi:ff:Tffi:ff 

inet 192.168.1.135/24 brd 192.168.1.255 scope global dynamic enp0s3 
valid_lft 6173sec preferred_Ilft 6173sec 

inet6 fe80::a00:27ff:fe89:2233/64 scope Link 

valid_lft forever preferred_Ilft forever 

[rooterhelri =] 


2.6. dhclient 


Desktopurile de acasă şi client Linux deseori execută /sbin/dhclient. Acesta e 
un daemon care deschide o interfaţă network pentru a concesiona o configurare ip 
de la un server dhcp. Cînd adaptatorul de rețea este configurat pentru dhcp sau 
bootp, atunci /sbin/ifup va porni daemonul dhclient. 


Cînd o concesiune este reînnoită, dhclient va suprascrie setarea ifconfig a 
adresei ip! 


2.7. hostname 


Fiecare gazdă primeşte un hostname (nume de maşină), deseori plasat într-un nume 
spațiu DNS formînd fqdn sau Fully Qualified Domain Name (Nume De Domeniu 
Calificat în întregime). 


Acest screenshot arată comanda hostname şi configurarea hostname-ului pe Red 
Hat /Fedora. 


[rooterhel6 =] grep HOSTNAME /etc/sysconfig/network 
HOSTNAME=rhel6 

[rootarhel6 -]4 hostname 

rhe16 


începînd cu RHEL7/CentoOs7 acest fişier este gol. Numele de maşină este 
configurat în fişierul standard /etc/hostname. 


[rootarhel7i -]t cat /etc/hostname 
rhe171. linux-training.be 
[rooterhelril -]t 


Ubuntu/Debian foloseşte fişierul /etc/hostname pentru a configura numele de 
maşină. 


pauledebian8:-$ cat /etc/hostname 
server42 

pauledebian8:-$ hostname 

server42 


Pe toate distribuțiile Linux puteți schimba numele maşinii folosind comanda 
hostname $newname. Asta nu este o schimbare permanentă. 
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[rooterhel6 -]% hostname server42 
[rooterhel6 -]% hostname 
server42 


Pe orice Linux puteți folosi sysctl pentru a afişa şi seta hostname-ul. 


[rooterhel6 -]4 sysctl kernel.hostname 
kernel.hostname = server42 

[rooterhel6 =] sysctl kernel.hostname=rhel6 
kernel.hostname = rhel6 

[rooterhel6 -]4 sysctl kernel.hostname 
kernel.hostname = rhel6 

[rooterhel6 =] hostname 

rhe16 


2.8. arp 


Rezoluția ip to mac este controlată de protocolul arp layer 2 broadcast. Tabelul 
arp poate fi afişat cu utilitarul arp. Sceenshot-ul de mai jos arată lista 
computerelor cu care acest computer a comunicat recent. 


rootâbarry:-t arp -a 

? (192.168.1.191) at 00:0C:29:3B8:15:80 [ether] on ethl 

agapi (192.168.1.73) at 00:03:BA:09:7F:D2 [ether] on eth1l 

anya (192.168.1.1) at 00:12:01:E2:87:FB [ether] on ethl 

faith (192.168.1.41) at 00:0E:7F:41:0D:EB [ether] on eth1 

kiss (192.168.1.49) at 00:D0:E0:91:79:95 [ether] on eth1 

laika (192.168.1.40) at 00:90:F5:4E:AE:17 [ether] on eth1 

pasha (192.168.1.71) at 00:03:BA:02:C3:82 [ether] on eth1 

shaka (192.168.1.72) at 00:03:BA:093:7C:F9 [ether] on eth1 

rootâbarry:-4 

anya este un Firewall Cisco, faith este o imprimantă laser, kiss este un Kiss 
DP600, laika este un laptop şi agapi, Shaka şi pasha sînt servere SPARC. Semnul 
întrebării este un Red Hat Enterprise Linux server care rulează într-o maşină 
virtuală. 


Puteți folosi arp -d pentru a şterge o intrare în tabelul arp. 


[rooterhel6 -]+ arp 


Address HWtype HWaddress Flags Mask I face 
ubu1l010 ether 00:26:bb:12:7a:5e C etho 
anya ether 00:02:cf:aa:68:f0 C etho 


[rooterhel6 -]+ arp -d anya 
[rooterhel6 -]+ arp 


Address HWtype HWaddress Flags Mask I face 
ubu1010 ether 00:26:bb:12:7a:5e C etho 
anya (incomplete) etho 


[rooterhel6 -]+ ping anya 
PING anya (192.168.1.1) 56(84) bytes of data. 
64 bytes from anya (192.168.1.1): icmp_seqg=1 ttl=254 time=10.2 ms 


[rooterhel6 -]+ arp 


Address HWtype HWaddress Flags Mask IL face 
ubu1010 ether 00:26:bb:12:7a:5e C etho 
anya ether 00:02:cf:aa:68:f0 C etho 
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2.9. route 


Puteți vedea tabelul rutării locale a computerului cu comanda /sbin/route (şi de 
asemeni cu netstat -r). 


rootaRHELA4b -]t netstat -r 

Kernel IP routing table 

Destination Gateway Genmask Flags MS S Window irtt Iface 
192.168.1.0 x 255.255.255.0 U 00 0 etho 
[rootQRHEL4b -]4 route 

Kernel IP routing table 

Destination Gateway  Genmask Flags Metric Ref Use Iface 
192.168.1.0 x 255.255.255.0 U 0) 0) 0 etho 
rootaRHEL4b -]+% 


Se pare că acest computer nu are un gateway configurat, aşa că vom folosi route 
add default gw pentru a adăuga gateway-ul default. 


[rootQeRHEL4b =-]t route add default gw 192.168.1.1 
[rootQRHEL4b =] route 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.1.0 x 255.255.,255.0 U 0) 0) 0 etho 
default 192.68.1.1 0.0.0.0 UG 0) 0) 0 etho 


[rootQRHEL4b -]+% 


Doar dacă nu configurați gateway-ul în unul dintre fişierele /etc de la 
începutul acestui capitol, computerul va uita aceast gateway după un reboot. 


2.10. ping 
Dacă puteți face ping către o altă gazdă, atunci tcp/ip este configurat. 


[rooteRHEL4b =] ping 192.168.1.5 

PING 192.168.1.5 (192.168.1.5) 56(84) bytes of data. 

64 bytes from 192.168.1.5: icmp_seq=0 ttl=64 time=1004 ms 
64 bytes from 192.168.1.5: icmp_seqg=1l ttl=64 time=1.19 ms 
64 bytes from 192.168.1.5: icmp_seq=2 ttl=64 time=0.494 ms 
64 bytes from 192.168.1.5: icmp_seq=3 ttl=64 time=0.419 ms 


RRRHR 


--— 192.168.1.5 ping statistics --- 

4 packets transmitted, 4 received, 0% packet loss, time 3009ms 
rtt min/avg/max/mdev = 0.419/251.574/1004.186/434.520 ms, pipe 2 
[rootQRHEL4b -]+% 


2.11. opţional: ethtool 
Pentru a afişa sau schimba setările plăcii de rețea, folosiţi ethtool. 


Rezultatele depind de capabilitățile plăcii de rețea. Acest exemplu arată o 
rețea care auto-negociază mărimea de bandă. 


31 


rootalaika:-t ethtool etho 
Settings for etho: 

Supported ports: [ TP |] 

Supported link modes: 10baseT/Half 10baseT/Full 
100baseT/Half 100baseT/Full 
1000baseT/Full 

Supports auto-negotiation: Yes 

Advertised link modes: 10baseT/Half 10baseT/Fultl 
100baseT/Half 100baseT/Full 
1000baseT/Full 

Advertised auto-negotiation: Yes 

Speed: 1000Mb/s 

Duplex: Full 

Port: Twisted Pair 

PHYAD: 0 

Transceiver: internal 

Auto-negotiation: on 

Supports Wake-on: pumbg 

Wake-on: g 

Current message level: 0x00000033 (51) 

Link detected: yes 


Acest exemplu arată cum să utilizăm ethtool pentru a schimba lățimea de bandă de 
la 1000 Mbit la 100 Mbit şi revers. Observați că trece puțin timp înainte ca nic 
să fie înapoi la 1000 Mbit. 


rootelaika:-t ethtool etho | grep Speed 

Speed: 1000Mb/s 

rootelaika:-4 ethtool -s etho speed 100 

rootelaika:-t ethtool etho | grep Speed 
Speed: 100Mb/s 

rootelaika:-4 ethtool -s etho speed 1000 

rootelaika:-t ethtool etho | grep Speed 
Speed: 1000Mb/s 
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3 


4. 


„12. practică: configurare interfaţă de rețea 


Verificaţi dacă dhclient se execută. 
Afişați adresa (adresele) ip curente. 
Afişați fişierul de configurație unde este definită adresa ip. 


Urmăriţi configurarea nic în carte pentru a schimba adresa ip de la client 


dhcp la fixă. Păstrați aceeaşi adresă ip pentru a evita conflicte! 


5, 


Ați configurat şi gateway-ul corect în întrebarea de mai sus? Dacă nu, atunci 


faceți asta acum. 


6. 


7. 


8. 


9. 


Verificaţi dacă aveți un gateway. 
Verificaţi dacă puteţi să vă conectaţi la gateway, dacă conexiunea este vie. 
Schimbați ultimele două cifre a adresei mac. 


Care porturi sînt utilizate de http, pop3, ssh, telnet, nntp şi ftp? 


10. Explicaţi de ce e-mail-ul şi siturile web sînt transmise prin tcp şi nu udp. 


11. Afişați hostname-ul computerului. 


12. Cu care adrese ip a avut contact recent computerul? 
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2.13. soluție: configurare interfaţă de reţea 
1. Verificaţi dacă dhclient se execută. 
pauledebian5:-$ ps fax | grep dhclient 

2. Afişaţi adresa (adresele) ip curente. 


pauledebian5:-$ /sbin/ifconfig | grep 'inet ! 
inet addr:192.168.1.31 Bcast:192.168.1.255  Mask:255.255.255.0 
inet addr:127.0.0.1 Mask:255.0.0.0 


3. Afişaţți fişierul de configurație unde este definită adresa ip. 


Ubuntu/Debian: cat /etc/network/interfaces 
Redhat/Fedora: cat /etc/sysconfig/network-scripts/ifcfg-ethx 


4. Urmăriţi configurarea nic în carte pentru a schimba adresa ip de la client 
dhcp la fixă. Păstraţi aceeaşi adresă ip pentru a evita conflicte! 


Ubuntu/Debian: 

ifdown etho 

vi /etc/network/interfaces 
ifup etho 


Redhat/Fedora: 

i fdown etho 

vi /etc/sysconfig/network-scripts/ifcfg-etho 
ifup etho 


5. Ați configurat şi gateway-ul corect în întrebarea de mai sus? Dacă nu, atunci 
faceți asta acum. 


6.Verificați dacă aveți un gateway. 


pauledebian5:-$ /sbin/route 
Kernel IP routing table 


Destination Gateway Genmask Flags Metric Ref Use Iface 
192.168.1.0 ai 255.255.,255.0 U 0) 0) 0 etho 
default 192.168.1.1 0.0.0.0 UG 0) 0) 0 etho 


7. Verificaţi dacă puteţi să vă conectaţi la gateway, dacă conexiunea este vie. 


pauledebian5:-$ ping -c3 192.168.1.1 

PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. 

64 bytes from 192.168.1.1: icmp_seq=1l ttl=254 t'ime=2.28 ms 
64 bytes from 192.168.1.1: icmp_seq=2 ttl=254 t'ime=2.94 ms 
64 bytes from 192.168.1.1: icmp_seq=3 ttl=254 t'ime=2.34 ms 


--— 192.168.1.1 ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2008ms 
rtt min/avg/max/mdev = 2.283/2.524/2.941/0.296 ms 

8. Schimbaţi ultimele două cifre a adresei mac. 


[rooterhel6 -]t ifconfig etho hw ether 08:00:27:ab:67:XX 


9. Care porturi sînt utilizate de http, pop3, ssh, telnet, nntp şi ftp? 
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rooterhel6 -4 grep A'http ! /etc/services 


http 80/tcp wuw wwu-ht'tp + Worldwideweb HTTP 

http 80/tcp www wuww-ht'tp 4 HyperText Transfer Protocol 
rooterhel6-t grep A'smtp ! /etc/services 

smtp 25/tcp mail 

smtp 25/udp mail 

rooterhel6 -4 grep A'ssh ! /etc/services 

ssh 22 /tcp + The Secure Shell (SSH) Protocol 

ssh 22 /udp + The Secure Shell (SSH) Protocol 
rootârhel6-+ grep A'telnet ! /etc/services 

telnet 23/tcp 

telnet 23/udp 

rooterhel6-t grep A'nntp ! /etc/services 

nntp 119/tcp readnews untp  USENET News Transfer Protocol 
nntp 119/udp readnews untp  USENET News Transfer Protocol 
rooterhel6-t grep 1'ftp ! /etc/services 

ftp 21/tcp 

ftp 21/udp fsp  fspd 


10. Explicaţi de ce e-mail-ul şi siturile web sînt transmise prin tcp şi nu udp. 
Pentru că tcp este de încredere şi udp nu. 
11. Afişați hostname-ul computerului. 


pauledebian5:=-$ hostname 
debian5 


12. Cu care adrese ip a avut contact recent computerul? 


rooterhel6 -t arp -a 

? (192.168.1.1) at 00:02:cf:aa:68:f0 [ether] on eth2 
? (192.168.1.30) at 00:26:bb:12:7a:5e [ether] on eth2 
? (192.168.1.31) at 08:00:27:8e:8a:a8 [ether] on eth2 
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Capitolul 3. interceptare rețea 


Un administrator de reţea bun ar trebui să fie capabil să utilizeze un 
interceptor ca wireshark sau tcpdump pentru a depana probleme ale reţelei. 


Un student bun va utiliza deseori un interceptor pentru a învăţa reţele. Acest 
capitol vă introduce la interceptarea rețelei. 


3.1. wireshark 
3.1.1. instalare wireshark 


Acest exemplu arată cum să instalăm wireshark pe distribuții bazate pe .deb 
(incluzând Debian, Mint, Xubuntu, şi altele). 


rootedebian8:-t apt-get install wireshark 
Reading package lists... Done 
Building dependency tree 
Reading state information... Done 
(output truncated) 


Pe distribuții bazate pe .rpm ca CentoOS, RHEL şi Fedora puteți folosi yum pentru 
a instala wireshark. 


[rootecentos7 =] yum install wireshark 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 
(output truncated) 


3.1.2. selectarea interfeţei 


Cînd deschideţi pentru prima dată wireshark, va trebui să selectați o interfață 
de interceptat. Veţi vedea o căsuţă de dialog similară cu aceasta. 


Wireshark: Capture Interfaces +DOX 
Device Description IP Packets Packets/s 
JS wlan0 192.168.1.35 ( 
şa] any 
şa] lo 127.0.0.1 
(3)  bluetootho 
ia]  nflog 
Ea]  nfqueue 
Î usbmoni 
îi usbmon2 
[8] Help Ei ta! G) Options X Close 


Este posibil să nu fie nici o interfață disponibilă pentru că unele distribuții 
permit doar utilizatorului root să intercepteze rețeaua. Aşi putea avea nevoie 
să folosiți sudo wireshark. 
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Sau puteți să urmaţi sfatul obişnuit să interceptaţi folosind tcpdump sau orice 
altă unealtă, şi să salvați captura într-un fişier. Orice captură salvată poate 
fi analizată folosind wireshark mai tîrziu. 


3.1.3. minimalizaţi traficul 


Interceptarea unei rețele poate genera multe sute de pachete într-un timp foarte 
scurt. Asta poate fi copleşitor. încercați să moderați izolîndu-vă interceptorul 
pe reţea. De preferat interceptaţți o interfață de rețea izolată virtual asupra 
căreia controlați tot traficul. 

Dacă sînteți acasă pentru a învăța interceptare, atunci ar fi folositor să 
închideți toate programele network pe computer, şi să deconectaţi alte computere 
şi dispozitive ca smartphonuri şi tablete pentru a minimaliza traficul. 


Chiar mai importat decît asta este folosirea filtrelor care vor fi discutate în 
acest capitol. 


3.1.4. interceptare ping 


Am început interceptarea şi am capturat toate pachetele în timp ce am executat 
aceste trei comenzi ping (nu e nevoie să fiți root pentru a face asta): 


rootedebian7:-t ping -c2 nsl.paul.local 

PING ns1l.paul.local (10.104.33.30) 56(84) bytes of data. 

64 bytes from 10.104.33.30: icmp_req=1l ttl=64 time=0.010 ms 

64 bytes from 109.104.33.30: icmp_req=2 ttl=64 t'ime=0.023 ms 

--- nsl.paul.local ping statistics --- 

2 packets transmitted, 2 received, 0% packet loss, time 1001ms 

rtt min/avg/max/mdev = 0.010/0.016/0.023/0.007 ms 

rootedebian?r:-t ping -c3 Linux-training.be 

PING Linux-training.be (188.93.155.87) 56(84) bytes of data. 

64 bytes from antares.ginsys.net (188.93.155.87): icmp_req=1 ttl=56 time=15.6 ms 
64 bytes from antares.ginsys.net (188.93.155.87): icmp_req=2 ttl=56 time=17.8 ms 
64 bytes from antares.ginsys.net (188.93.155.87): icmp_req=3 ttl=56 time=14.7 ms 
--- Linux-training.be ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 2003ms 

rtt min/avg/max/mdev = 14.756/16.110/17.881/1.309 ms 

rootedebian?:-t ping -cl centos7.paul. local 

PING centos7.paul. local (190.104.33.31) 56(84) bytes of data. 

64 bytes from 10.104.33.31: icmp_req=1l ttl=64 time=0.590 ms 

--- centosT7.paul.local ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 

rtt min/avg/max/mdev = 0.590/0.590/0.590/0.000 ms 


în total mai mult de 200 de pachete au fost interceptate de pe rețea. Lucrurile 
devin mai clare cînd tastaţi icmp în cîmpul filtru şi apăsaţi butonul apply. 
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Filter: icmp | v | Expression... Clear Apply Save 


No. Source Destination Protocol Info 
190.104.33.30 190.104.33.30 (ping) request  id=0x09f6, 
32 10.104.33.30 190.104.33.30 ICMP Echo (ping) reply id=0x09f6, seq=1/; 
47 10.104.33.30 190.104.33.30 ICMP Echo (ping) request  id=0x09f6, seq=2/! 
48 10.104.33.30 190.104.33.30 ICMP Echo (ping) reply id=0x09f6, seq=2/! 
103 192.168.1.103 188.93.155.87 ICMP Echo (ping) request  id=0x09f7, seq=1/; 
104 188.93.155.87 192.168.1.103 ICMP Echo (ping) reply id=0x09f7, seq=1/; 
115 192.168.1.103 188.93.155.87 ICMP Echo (ping) request id=0x09f7, seq=2/! 
116 188.93.155.87 192.168.1.103 ICMP Echo (ping) reply id=0x09f7, seq=2/! 
123 192.168.1.103 188.93.155.87 ICMP Echo (ping) request  id=0x09f7, seq=3/' 
124 188.93.155.87 192.168.1.103 ICMP Echo (ping) reply id=0x09f7, seq=3/ 
170 10.104.33.30 I8- 1943331 ICMP Echo (ping) request  id=0x09f8, seq=1/; 
171 10.104.33.31 160.104.33.30 ICMP Echo (ping) reply id=0x09f8, seq=1/; 


3.1.5. interceptare ping şi dns 


Folosim aceeaşi captură ca mai înainte, dar acum cu un filtru diferit. Vrem să 
vedem şi traficul dns şi icmp, astfel le-am tastat pe ambele în cîmpul filtru. 


Punem dns or icmp în filtru pentru a obţine asta. Punînd dns and icmp nu va avea 


nici un rezultat pentru că nu există nici un pachet care să se potrivească cu 
ambele protocoluri. 


Filter: | icmp or dns | Expression... Clear Apply Save 


No. Source Destination Protocol Info 
25 100.104.33.30 190.104.33.30 DNS Standard query 0xa668 A nsl.paul.local 
26 100.104.33.30 190.104.33.30 DNS Standard query response 0xa668 A 10.10; 
31 10.104.33.30 190.104.33.30 ICMP Echo (ping) request  id=0x09f6, seq=1/2' 
32 10.104.33.30 190.104.33.30 ICMP Echo (ping) reply id=0x09f6, seq=1/2! 


în captura de ecran de mai sus puteți vedea că pachetele 25 şi 26 au ip-ul 
110.104.33.30 ca sursă şi destinație. Asta se întîmplă pentru că clientul dns 
este acelaşi computer ca şi serverul dns. 


Acelaşi lucru este adevărat pentru pachetele 31 şi 32, de vreme ce maşina în 
realitate îşi face ping sieşi. 


3.1.6. adresă ip specifică 
Acesta e un screenshot care filtrează pachetele dns care conțin o anumită adresă 


ip. Filtrul în folosire este ip.add==10.104.33.30 and dns. Directiva and 
forțează fiecare pachet afişat pentru a potrivi ambele condiții. 


Filter: | ip.addr==10.104.33.30 and dns d | Expression... Clear Apply Save 
No. Source Destination Protocol Info 
93 100.104.33.30 109.104.33.30 DNS Standard query 0xa34a A linux-training.be 
98 10.104.33.30 190.104.33.30 DNS Standard query response 0xa34a A 188.93.155.87 


Pachetul 93 este interogarea dns pentru înregistrarea A a Llinux-training.be. 
Pachetul 98 este răspunsul de la serverul dns. Ce credeți că s-a întîmplat în 
pachetele dintre 93 şi 98? încercaţi să răspundeţi la asta înainte de a continua 
să citiți (întotdeauna este de ajutor să încercați să preziceţi ceea ce vedeți, 
şi apoi să verificaţi predicția). 
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3.1.7. filtrare după frame 


Termenul tehnic corect pentru un pachet în timp ce este interceptat este un 
frame (pentru că interceptăm pe stratul doi). Aşa că pentru a afişa pachete cu 
anumite numere, folosim în filtru frame.number. 


Filter: | frame.number>92 and frame.number<99 d | Expression... Clear Apply Save 
No. Source Destination Protocol Info 
93 10.104.33.30 190.104.33.30 DNS Standard query 0xa34a A Linux-training.be 
94 192.168.1.103 8.8.8.8 DNS Standard query 0xf008 A Linux-training.be 
95 192.168.1.103 8.8.8.8 DNS Standard query 0x0ff5 NS <Root> 
96 8.8.8.8 192.168.1.103 DNS Standard query response 0x0ff5 NS d.root-serve! 
97 8.8.8.8 192.168.1.103 DNS Standard query response 0xf008 A 188.93.155.87 


109.104.33.30 190.104.33.30 Standard response 0xa34a A 188.93.155.87 


3.1.8 privind în intreriorul pachetelor 


Căsuța din mijloc poate fi mărită. Cînd selectăm o linie în acest panel, putem 
vedea biții corespunzători în frame-ul din panel-ul de jos. 


Această captură de ecran arată pane-ul din mijloc cu adresa sursă de pe laptopul 
meu selectat. 


|» Frame 1: 77 bytes on wire (616 bits), 77 bytes captured (616 bits) on interface 0 
|>]Ethernet II, Src: Apple 36:24:28 (b8:e8:56:36:24:28), Dst: IcpElect c9:07:10 (00:08:9b:c9:07:10) 
> Destination: IcpElect c9:07:10 (00:08:9b:c9:07:10) 
> Source: Apple 36:24:28 (b8:e8:56:36:24:28) 
Type: IP (0x0800) 

|»]Internet Protocol Version 4, Src: 192.168.1.35 (192.168.1.35), Dst: 192.168.1.42 (192.168.1.42) 
|»]User Datagram Protocol, Src Port: 57676 (57676), Dst Port: 53 (53) 

|» ]Domain Name System (query) 
b8 e8 56 36 24 28 
0010 00 3f 6f 73 40 00 40 11 47 9d cO a8 01 23 co a8 aievea 
0020 01 2a el 4c 00 35 00 2b be 44 af c5 01 00 00 01 .*.L.5.+ .D...... 


0030 00 00 00 00 00 00 0e 6c 69 6e 75 78 2d 74 72 61  ....... 1 inux-tra 
0040 69 6e 69 6e 67 02 62 65 00 00 010001 ining.be ..... 


Notaţți că cele de mai sus funcționează bine cînd interceptăm o singură 
interfață. Cînd interceptăm cu de exemplu tcpdump -i any veți termina cu Linux 
cooked la acest nivel. 


|» Frame 25: 76 bytes on wire (608 bits), 76 bytes captured (608 bits) 
»|Linux cooked capture 
Packet type: Unicast to us (0) 
Link-layer address type: 772 
Link-layer address length: 6 

Source: 00:00:00 00:00:00 (00:00:00:00:00:00) 

Protocol: IP (0x0800) 
|» Internet Protocol Version 4, Src: 190.104.33.30 (100.104.33.30), Dst: 109.104.33.30 (100.104.33.30) 


0000 El: Sa 

0010 45 00 00 3c 38 d6 40 00 40 11 aa cf 0a 68 21 le E..<8.6. 6....nh!. 
0020 Oa 68 21 le 82 bd 00 35 00 28 57 45 a6 68 01 00 „h!....5 .(WE.h.. 
0030 00 01 00 00 00 00 00 00 03 6e 73 31 04 70 6175 O ........ „nsl.pau 
0040  6c 05 6c 6f 63 61 6c 00 00010001 1.local. 


3.1.9. alte exemple filtru 


Puteți combina două protocoluri cu un logic or între ele. Exemplul de mai jos 
arată cum să filtrăm doar pachete arp şi bootp (sau dhcp). 
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"BZ) Filter: [arp or bootp mă “e Expression... „A Clear </ Apply 


Acest exemplu ne arată cum să filtrăm traficul dns care conține o anumită adresă 
ip. 


PE) Filter: [dns and ip.addr==192.168.1.5 |Y ]| 4P Expression... || „A Clear |</ Apply | 


3.2. tcpdump 


Interceptarea de pe linia de comandă poate fi făcută cu tcpdump. Aici sînt nişte 
exemple. 


Folosind comanda tpcdump host $ip afişează tot traficul cu o singură gazdă 
(192.168.1.38 în acest exemplu). 


rootâubuntu910:=4 tcpdump host 192.168.1.38 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on etho, Link-type EN10MB (Ethernet), capture size 96 bytes 


Captarea doar a traficului ssh (portul tcp 22) poate fi făcută cu 
tcpdump tcp port $port. Această captură de ecran este tăiată la 76 de caractere 
pentru a fi uşor de citit în format pdf. 


rootedeb503:-+ tcpdump tcp port 22 

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on eth1l, link-type EN10MB (Ethernet), capture size 96 bytes 
14:22:20.716313 IP deb503.local.37973 > rhel53.local.ssh: P 666050963:66605 
14:22:20.719936 IP rhel53.local.ssh > deb503.local.37973: P 1:49(48) ack 48 
14:22:20.720922 IP rhel53.local.ssh > deb503.local.37973: P 49:113(64) ack 
14:22:20.721321 IP rhel53.local.ssh > deb503.local.37973: P 113:161(48) ack 
14:22:20.721820 IP deb503.local.37973 > rhel53.local.ssh: . ack 161 win 200 
14:22:20.722492 IP rhel53.local.ssh > deb503.local.37973: P 161:225(64) ack 
14:22:20.760602 IP deb503.1local.37973 > rhel53.local.ssh: . ack 225 win 200 
14:22:23.108106 IP deb503.local.54424 > ubuntu910.local.ssh: P 467252637:46 
14:22:23.116804 IP ubuntu910.local.ssh > deb503.local.54424: P 1:81(80) ack 
14:22:23.116844 IP deb503.local.54424 > ubuntu910.local.ssh: . ack 81 win 2 
AC 

10 packets captured 

10 packets received by filter 

O packets dropped by kernel 


La fel ca mai sus, dar scrie ieşirea într-un fişier cu comanda tcpdump -w 
$fi lename. 


rootâubuntu910:-t tcpdump -w sshdump.tcpdump tcp port 22 

tcpdump: listening on etho, Link-type EN1OMB (Ethernet), capture size 96 bytes 
AC 

17 packets captured 

17 packets received by filter 

O packets dropped by kernel 


Fişierul creat mai sus poate fi afişat cu comanda tcpdump -r $filename. 


rootâubuntu910:=4 tcpdump -r sshdump.tcpdump 
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Mult mai multe exemple pot fi găsite în pagina de manual a tpcdump. 
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3.3. practică: interceptare rețea 

1. Instalați wireshark pe computer (nu în interiorul unei maşini virtuale). 

2. Faceți un ping între computer şi alt computer. 

3. începeţi să interceptaţi rețeaua. 

4. Afişaţi doar echo al ping-ului în panel-ul de sus folosind un filtru. 

5. Acum faceți ping la un nume (ca www. Linux-training.be) şi încercaţi să 
interceptați cererea DNS şi răspunsul. Care server DNS a fost utilizat? A fost o 
cerere şi un răspuns tcp sau udp? 

6. Găsiţi un website amator/hobby/club care cere un prompt login. încercaţi să 


vă logați cu utilizatorul “paul' şi parola “'hunter2' în timp ce interceptorul 
rulează. Acum găsiți această informație în interceptor. 
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3.4. soluție: interceptare reţea 
1. Instalaţi wireshark pe computer (nu în interiorul unei maşini virtuale). 
Debian/Ubuntu: aptitude install wireshark 


Red Hat/Mandriva/Fedora: yum install wireshark 

2. Faceți un ping între computer şi alt computer. 
ping $ip_address 

3. Începeţți să interceptați rețeaua. 

(sudo) wireshark 


selectaţi o interfaţă (probabil etho) 


4. Afişaţi doar echo al ping-ului în panel-ul de sus folosind un filtru. 
tastaţi 'icmp! (fără ghilimele) în căsuţa filtru, apoi faceţi click pe 'apply' 


5. Acum faceți ping la un nume (ca www. linux-training.be) şi încercați să 
interceptaţi cererea DNS şi răspunsul. Care server DNS a fost utilizat? A fost o 
cerere şi un răspuns tcp sau udp? 


Mai întîi porniţi interceptorul. 
Scrieţi 'dns! în căsuţa filtru şi faceţi click apply. 


rootâubuntu910:-+ ping www. Linux-training.be 

PING www. linux-training.be (88.151.243.8) 56(84) bytes of data. 

64 bytes from fosfor.openminds.be (88.151.243.8): icmp_seqg=1 ttl=58 time=14.9 ms 
64 bytes from fosfor.openminds.be (88.151.243.8): icmp_seq=2 ttl=58 time=16.0 ms 
AC 

--- wmw, linux-training.be ping statistics --- 

2 packets transmitted, 2 received, 0% packet loss, time 1002ms 

rtt min/avg/max/mdev = 14.984/15.539/16.095/0.569 ms 


Ecranul wireshark ar trebui să arate aproximativ astfel. 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 
ju 50 EaIXe Sase Tz Ei aaa 
PZ Filter: [ans id “= Expression... | A Clear| </ Apply | 


No.. |Time Source Destination Protocol] Info 
18 8.710490 192.168.1.34  192.168.1.1 Standard query A www. linux-training.be 


Detaliile în wireshark vor transmite că cererea DNS a fost în interiorul unui 
pachet udp. 


6. Găsiţi un website amator/hobby/club care cere un prompt login. încercaţi să 


vă logați cu utilizatorul “paul” şi parola “hunter2' în timp ce interceptorul 
rulează. Acum găsiți această informaţie în interceptor. 
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Capitolul 4. legare şi cuplare 


Uneori un server are nevoie de mai multe adrese ip pe aceeaşi placă de reţea, 
noi numim asta legarea (binding) adreselor ip. 


Linux poate de asemeni să activeze mai multe plăci de reţea în spatele aceleiaşi 
adrese ip, asta se numeşte cuplare (bonding). 


Acest capitol vă va învăța cum să configurați legarea şi cuplarea pe cele mai 
comune distribuții Linux. 


4.1. legare pe Redhat/Fedora 
4.1.1. legarea adreselor ip extra 


Pentru a lega mai mult decît o singură adresă ip pe aceeaşi interfaţă, folosiţi 
ifcfg-etho:0, unde ultimul zero poate fi orice altceva. Doar două directive sînt 
cerute în fişiere. 


[rooterhel6 -]t cat /etc/sysconfig/network-scripts/ifcfg-etho:0 
DEVICE="eth0:0" 

IPADDR="192.168.1.133" 

[rooterhel6 -]+ cat /etc/sysconfig/network-scripts/ifcfg-etho:1 
DEVICE="etho:0" 

IPADDR="192.168.1.142" 


4.1.2. autorizarea adreselor ip extra 


Pentru a activa o interfață de rețea virtuală, folosiţi ifup, pentruao 
dezactiva folosiți ifdown. 


[rooterhel6 -]t+ ifup etho:0 

[rooterhel6 -]+ ifconfig | grep 'inet ! 
inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:192.168.1.133 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:127.0.0.1 Mask:255.0.0.0 

[rooterhel6 -]t+ ifup etho:1 

[rooterhel6 -]+ ifconfig | grep 'inet ! 
inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:192.168.1.133 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:192.168.1.142 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:127.0.0.1 Mask:255.0.0.0 


4.1.3. verificarea adreselor ip extra 


Folosiţi ping de pe un alt computer pentru a verifica activarea, sau folosiţi 
ifconfig ca în acest screenshot. 
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[rooterhel6 -]t ifconfig 
etho Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
inet addr:192.168.1.99 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:fedd:d5c/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:1259 errors:0 dropped:0 overruns:0 frame:0 
TX packets:545 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:115260 (112.5 KiB) TX bytes:84293 (82.3 KiB) 


eth0:0 Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
inet addr:192.168.1.133 Bcast:192.168.1.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

etho:1 Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
inet addr:192.168.1.142 Bcast:192.168.1.255 Mask:255,255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 


4.2. legare pe Debian/Ubuntu 
4.2.1. legarea adreselor ip extra 


Configurarea adreselor ip multiple pe aceeaşi placă de rețea se face în 
/etc/network/interfaces adăugînd dispozitive etho:x. Adăugarea netmask (măştii 
de rețea) este obligatorie. 


debian5:-t cat /etc/network/interfaces 
4 This file describes the network interfaces available on your system 
+ and how to activate them. For more information, see interfaces(5). 


+ The loopback network interface 
auto lo 
iface lo inet loopback 


4 The primary network interface 
iface etho inet static 

address 192.168.1.34 

network 192.168.1.0 

netmask 255.255.255.0 

gateway 192.168.1.1 

auto etho 


auto eth0:0 

iface eth0:0 inet static 
address 192.168.1.233 
netmask 255.255.255.0 


auto etho:1 

iface etho:1 inet static 
address 192.168.1.242 
netmask 255.255.255.0 


4.2.2. autorizarea adreselor ip extra 
Folosiţi ifup pentru a autoriza adresele extra. 


debian5:-t ifup eth0:0 
debian5:-t ifup etho:1 
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4.2.3. verificarea adreselor ip extra 


Folosiţi ping de pe un alt computer pentru a verifica activarea, sau folosiți 
ifconfig ca în această captură de ecran. 


debian5:-tifconfig | grep 'inet ! 
inet addr:192.168.1.34 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:192.168.1.233 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:192.168.1.242 Bcast:192.168.1.255 Mask:255.255.255.0 
inet addr:127.0.0.1 Mask:255.0.0.0 


4.3. cuplare pe Redhat/Fedora 


începem cu ifconfig -a pentru a obține o lisă a tuturor plăcilor de rețea de pe 
sistemul nostru. 


[rooterhel6 network-scripts]t ifconfig -a | grep Ethernet 


etho Link encap:Ethernet HWaddr 08:00:27:DD:0D:5C 
eth1l Link encap:Ethernet HWaddr 08:00:27:DA:C1:49 
eth2 Link encap:Ethernet HWaddr 08:00:27:40:03:3B 


în acest demo vom decide să cuplăm eth1 şi eth2. 


Vom numi cuplarea bond şi vom adăuga acestă intrare în modprobe astfel încât 
kernel-ul să poată încărca modulul cuplaj cînd aducem la viață interfaţa. 


[rooterhel6 network-scripts]t cat /etc/modprobe.d/bonding.conf 
alias bond bonding 


Apoi creăm /etc/sysconfig/network-scripts/ifcfg-bondo pentru a configura 
interfața noastră bondo. 


[rooterhel6 network-scripts]t pwd 
/etc/sysconfig/network-scripts 

[rooterhel6 network-scripts]t cat ifcfg-bondo 
DEVICE=bondo 

IPADDR=192.168.1.199 

NETMASK=255.255.255.0 

ONBOOT=yes 

BOOTPROTO=none 

USERCTL=no 


Apoi creăm două fişiere, una pentru fiecare placă de reţea pe care o von folosi 
ca slave în bondo. 
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[rooterhel6 network-scripts]t cat ifcfg-eth1 
DEVICE=eth1 

BOOTPROTO=none 

ONBOOT=yes 

MASTER=bond0 

SLAVE=yes 

USERCTL=no 

[rooterhel6 network-scripts]t cat ifcfg-eth2 
DEVICE=eth2 

BOOTPROTO=none 

ONBOOT=yes 

MASTER=bond0 

SLAVE=yes 

USERCTL=no 


La sfîrşit aducem interfața la viață cu ifup bonde. 


[rooterhel6 network-scripts]t ifup bond 
[rooterhel6 network-scripts]t ifconfig bond 
bond Link encap:Ethernet HWaddr 08:00:27:DA:C1:49 
inet addr:192.168.1.199 Bcast:192.168.1.255 Mask:255,255.255.0 
inet6 addr: fe80::a00:27ff:feda:c149/64 Scope:Link 
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1 
RX packets:251 errors:0 dropped:0 overruns:0 frame:0 
TX packets:21 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:39852 (38.9 KiB) TX bytes:1070 (1.0 KiB) 


Cuplarea ar trebui să fie de asemeni vizibilă în /proc/net/bonding. 


[rooterhel6 network-scripts]t cat /proc/net/bonding/bondo 
Ethernet Channel Bonding Driver: v3.5.0 (November 4, 2008) 
Bonding Mode: load balancing (round-robin) 

MII Status: up 

MII Polling Interval (ms): 0 

Up Delay (ms): 0 

Down Delay (ms): 0 


Slave Interface: eth1 

MII Status: up 

Link Failure Count: 0 

Permanent HW addr: 08:00:27:da:c1:49 


Slave Interface: eth2 

MII Status: up 

Link Failure Count: 0 

Permanent HW addr: 08:00:27:40:03:3b 


4.4. cuplare pe Debian/Ubuntu 


începem cu ifconfig -a pentru a obține o listă a tuturor plăcilor de rețea de pe 
sistemul nostru. 
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debian5:-+ ifconfig -a | grep Ethernet 


etho Link encap:Ethernet HWaddr 08:00:27:bb:18:a4 
eth1l Link encap:Ethernet HWaddr 08:00:27:63:9a:95 
eth2 Link encap:Ethernet HWaddr 08:00:27:27:a4:92 


în acest demo vom decide să cuplăm eth1 şi eth2. 


Va trebui de asemeni să instalăm pachetul ifenslave. 


debian5:-t aptitude search ifenslave 

p ifenslave - Attach and detach slave interfaces to a bonding device 
p ifenslave-2.6 - Attach and detach slave interfaces to a bonding device 
debian5:-t aptitude install ifenslave 

Reading package lists... Done 


Apoi aducem la zi fişierul /etc/network/interfaces cu informații despre 
interfața bondo. 


debian5:-t tail -7 /etc/network/interfaces 
iface bond inet static 

address 192.168.1.42 

netmask 255.255.255.0 

gateway 192.168.1.1 

slaves ethl eth2 

bond-mode active-backup 

bond_primary eth1 


Pe versiuni mai vechi de Debian/Ubuntu trebuia să tastați modprobe bonding, dar 
asta nu mai e cerut deloc. Folosiţi ifup pentru a aduce la viață interfața, apoi 
testați dacă funcționează. 


debian5:-t ifup bond 
debian5:-t ifconfig bond 
bond Link encap:Ethernet HWaddr 08:00:27:63:9a:95 
inet addr:192.168.1.42 Bcast:192.168.1.255 Mask:255.255.255.0 
inet6 addr: fe80::a00:27ff:fe63:9a95/64 Scope:Link 
UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 Metric:1 
RX packets:212 errors:0 dropped:0 overruns:0 frame:0 
TX packets:39 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:31978 (31.2 KiB) TX bytes:6709 (6.5 KiB) 


Cuplarea ar trebui să fie de asemeni vizibilă în /proc/net/bonding. 
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debian5:-4 cat /proc/net/bonding/bondo 
Ethernet Channel Bonding Driver: v3.2.5 (March 21, 2008) 


Bonding Mode: fault-tolerance (active-backup) 
Primary Slave: eth1 

Currently Active Slave: eth1l 

MII Status: up 

MII Polling Interval (ms): 0 

Up Delay (ms): 0 

Down Delay (ms): 0 


Slave Interface: eth1 

MII Status: up 

Link Failure Count: 0 

Permanent HW addr: 08:00:27:63:9a:95 


Slave Interface: eth2 

MII Status: up 

Link Failure Count: 0 

Permanent HW addr: 08:00:27:27:a4:92 
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4.5. practică: legare şi cuplare 


1. Adăugaţi o adresă ip extra la una dintre plăcile de reţea. Testați dacă 
funcționează (puneţi pe un coleg să facă ssh la ea)! 


2. Folosiţi ifdown pentru a anula această adresă ip extra. 


3. Fiți sigur că colegul a reuşit de asemeni să lege o adresă ip extra înainte 
de a continua. 


4. Adăugați o altă placă de reţea (sau două) la maşina virtuală şi folosiți 
teoria pentru a cupla două plăci de reţea. 
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4.6. soluție: legare şi cuplare 


1. Adăugați o adresă ip extra la una dintre plăcile de rețea. Testați dacă 
funcționează (puneţi pe un coleg să facă ssh la ea)! 


Redhat/Fedora: 
adăugaţi un fişier /etc/sysconfig/network-scripts/ifcfg-ethx:X cum este arătat 
în teorie. 


Debian/Ubuntu: 
măriţi fişierul /etc/network/interfaces cum este arătat în teorie. 


2. Folosiţi ifdown pentru a anula această adresă ip extra. 
ifdown eth0:0 


3. Fiți sigur că colegul a reuşit de asemeni să lege o adresă ip extra înainte 
de a continua. 


ping Șextra_ip_neighbour 
sau 
ssh Șextra_ip_neighbour 


4. Adăugați o altă placă de reţea (sau două) la maşina virtuală şi folosiți 
teoria pentru a cupla două plăci de reţea. 


Redhat/Fedora: 
adăugaţi fişierele ifcfg-ethx şi ifcfg-bondk în /etc/sysconfig/network-scripts 
aşa cum este arătat în teorie şi nu uitaţi modprobe.conf 


Debian/Ubuntu: 


extindeţi fişierul /etc/network/interfaces aşa cum e arătat în teorie şi nu 
uitaţi să instalaţi pachetul ifenslave. 
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Capitolul 5. client ssh şi server 


secure shell sau ssh este o colecție de utilitare care folosesc un protocol 
securizat pentru comunicări cu computere Linux îndepărtate. 


Acest capitol dă o trecere în revistă a celor mai comune comenzi în legătură cu 
utilizarea serverului sshd şi a clientului ssh. 


5.1. despre ssh 
5.1.1. secure shell 


Evitaţi folosirea telnet, rlogin şi rsh pentru a vă conecta remote cu serverele. 
Aceste protocoluri mai vechi nu criptează sesiunea de accesare a sistemului, 
ceea ce înseamnă că utilizatorul id şi parola pot fi interceptate cu utilitare 
ca wireshark sau tcpdump. Pentru a vă conecta sigur cu serverele, folosiți ssh. 


Protocolul ssh este sigur în două moduri. În primul rînd conexiunea este 
criptată şi în al doilea rînd conexiunea este autentificată în ambele sensuri. 


O conexiune ssh începe întotdeauna cu un handshake criptografic, urmat de 
criptarea stratului de transport folosind un cifru simetric. Cu alte cuvinte, 
tunelul este criptat înainte de a începe să tastați ceva. 


Apoi autentificarea are loc (folosind parola/user id a utilizatorului sau chei 
publice/private) şi comunicarea poate începe într-o conexiune criptată. 


Protocolul ssh îşi va aminti serverele cu care s-a conectat (şi vă va avertiza 
în caz că ceva suspicios a avut loc). 


Pachetul openssh este menținut de către comunitatea OpenBSD şi este distribuit 
în multe sisteme de operare (ar putea fi chiar cel mai popular pachet software 
din lume). 


5.1.2. /etc/ssh/ 


Configurarea clientului ssh şi a serverului ssh se face în directorul /etc/ssh. 
în următoarele secțiuni vom discuta cele mai multe fişiere găsite în /etc/ssh. 


5.1.3. versiunile de protocol ssh 


Protocolul ssh are două versiuni (1 şi 2). Evitaţi să folosiți versiunea 1 
oriunde, deoarece ea conține unele vulnerabilități cunoscute. Puteţi verifica 
versiunea de protocol prin /etc/ssh/ssh config pentru partea client şi 
/etc/ssh/sshd_config pentru daemonul openssh-server. 


paul(ubu1204: /etc/ssh$ grep Protocol ssh_config 
ii Protocol 2,1 

paul(ubu1204: /etc/ssh$ grep Protocol sshd_config 
Protocol 2 


5.1.4. chei publice şi private 

Protocolul ssh foloseşte sistemul bine cunoscut al cheilor publice şi private. 
Explicaţia de mai jos este succintă, mai multă informație poate fi găsită pe 
wikipedia. 


http://en.wikipedia.org/wiki/Public-key_cryptography 
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Imaginați-vă pe Alice şi Bob, doi oameni cărora le place să comunice unul cu 
altul. Folosind chei publice şi private ei pot comunica criptat cu 
autentificare. 


Cînd Alice vrea să-i trimită un mesaj criptat lui Bob, ea foloseşte cheia 
publică a lui Bob. Bob împarte cheia lui publică cu Alice, dar îşi păstrează 
cheia lui privată! Deoarece Bob este singurul care are cheia lui privată, Alice 
este sigură că Bob este singurul care poate citi mesajul criptat. 


Cînd Bob vrea să verifice dacă mesajul a venit de la Alice, Bob foloseşte cheia 
publică a lui Alice pentru a verifica dacă Alice a semnat mesajul cu cheia ei 
privată. Pentru că Alice este singura care are cheia privată a lui Alice, Bob 
este sigur că mesajul a venit de la Alice. 


5.1.5. algoritme rsa şi dsa 


Acest capitol nu explică implementarea tehnică a algoritmelor criptografice, 
aici explicăm cum să utilizăm utilitarele ssh cu rsa şi dsa. Mai multe 
informații despre aceste algoritme pot fi găsite aici: 


http://en.wikipedia.org/wiki/RSA_(algorithm) 
http://en.wikipedia.org/wiki/Digital_ Signature _Algorithm 


5.2. intrare pe un server remote (îndepărtat) 


Următorul screenshot ne arată cum să utilizăm ssh pentru a intra pe un computer 
remote rulînd Linux. Utilizatorul local e numit paul şi el este intrat în sistem 
ca utilizatorul admin42 pe sistemul remote. 


pauleubul204:-$ ssh admin420192.168.1.30 

The authenticity of host '192.168.1.30 (192.168.1.30)' can't be established. 
RSA key fingerprint is b5:fb:3c:53:50:b4:ab:81:f3:cd:2e:bb:ba:44:d3:75. 

Are you sure you want to continue connecting (yes/no)? 


Precum vedeţi, utilizatorul paul este reprezentat cu o amprentă de autentificare 
rsa de la sistemul remote. Utilizatorul poate accepta asta tastînd yes. Vom 
vedea mai tîrziu că o intrare va fi adăugată în fişierul -/.ssh_known_hosts. 


pauleubul204:-$ ssh admin420192.168.1.30 

The authenticity of host '192.168.1.30 (192.168.1.30)' can't be established. 
RSA key fingerprint is b5:fb:3c:53:50:b4:ab:81:f3:cd:2e:bb:ba:44:d3:75. 

Are you sure you want to continue connecting (yes/no)? yes 

Warning: Permanently added '192.168.1.30!' (RSA) to the List of known hosts. 
admin420192.168.1.30's password: 

Welcome to Ubuntu 12.04 LTS (GNU/Linux 3.2.0-26-generic-pae 1686) 


x Documentation:  https://help.ubuntu.com/ 


1 package can be updated. 
O updates are security updates. 


Last login: Wed Jun 6 19:25:57 2012 from 172.28.0.131 
admin42Qubuserver:-$ 


Utilizatorul poate să iasă de pe serverul remote tastînd exit sau folosind Ctrl- 
d. 
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5.3. execuţia unei comenzi pe remote 


Această captură de ecran arată cum să executăm comanda pwd pe serverul remote. 
Nu există nici o nevoie de a ieşi de pe server manual. 


pauleubul204:-$ ssh admin420192.168.1.30 pwd 
admin420192.168.1.30's password: 
/home/admin42 

paulGubu1204:-ș$ 


5.4. scp 


Comanda scp funcționează la fel ca cp, dar permite ca sursa şi destinaţia 
copiată să fie cu ssh. Aici este un exemplu unde copiem fişierul /etc/hosts de 
pe serverul remote în directorul home al utilizatorului paul. 


pauleubul204:-$ scp admin420192.168.1.30:/etc/hosts /home/paul/serverhosts 
admin420192.168.1.30's password: 
hosts 100% 809 0.8KB/s 00:00 


Aici e un exemplu în revers, unde copiem un fişier local la un server remote. 


pauleubul204:-$ scp =/serverhosts admin4280192.168.1.30:/etc/hosts.new 
admin420192.168.1.30's password: 
serverhosts 100% 809 0.8KB/s 00:00 


5.5. setare ssh fără parolă 


Pentru a seta autentificare ssh fără parolă prin intermediul cheilor 
publice/private, folosiți ssh-keygen pentru a genera o pereche de chei fără 
parolă, şi apoi copiaţi cheia publică pe serverul destinație. Să facem asta pas 
cu pas. 


în exemplul care urmează, vom seta ssh fără parolă între Alice şi Bob. Alice are 
un cont pe un server Red Hat Enterprise Linux, Bob foloseşte Ubuntu pe laptopul 
lui. Bob vrea să-i dea acces lui Alice folosind ssh şi sistemul de cheie publică 
şi privată. Asta înseamnă că chiar dacă Bob îşi schimbă parola pe laptopul lui, 
Alice încă va avea acces. 


5.5.1. ssh-keygen 


Exemplul de mai jos arată cum Alice foloseşte ssh-keygen pentru a genera o 
pereche de chei. Alice nu a tastat o parolă. 


[aliceQRHEL5 -]$ ssh-keygen -t rsa 

Generating public/private rsa key pair. 

Enter file in which to save the key (/home/alice/.ssh/id_rsa): 
Created directory '/home/alice/.ssh!. 

Enter passphrase (empty for no passphrase): 

Enter same passphrase again: 

Your identification has been saved în /home/alice/.ssh/id_rsa. 
Your public key has been saved în /home/alice/.ssh/id_rsa.pub. 
The key fingerprint is: 
9b:ac:ac:56:c2:98:e5:d9:18:c4:2a:51:72:bb:45:eb aliceQRHEL5 
[aliceaRHEL5 -]$ 


Puteţi folosi ssh-keygen -t dsa în aceeaşi modalitate. 
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5.5.2. -/.ssh 


În timp ce ssh-keygen generează o cheie publică şi o cheie privată, va crea la 

fel un director ascuns .ssh cu permisiunile de rigoare. Dacă creați directorul 

„ssh manual, atunci va trebui să-l faceți cu chmod 700! Altfel ssh va refuza să 
utilizeze cheile (cheile private cu drepturi de citire pentru ceilalți nu sînt 

sigure!). 

Precum vedeţi, directorul .ssh este securizat în directorul home a lui Alice. 


[aliceQRHEL5 -]$ Is -ld .ssh 
drwx-—===— 2 alice alice 4096 May 1 07:38 .ssh 
[aliceGRHEL5 -]$ 


Bob utilizează Ubuntu acasă. El decide să creeze manual directorul .ssh, astfel 
că are nevoie să îl securizeze manual. 


bobalaika:-$ mkdir .ssh 

bobâlaika:-$ Is -ld .ssh 

drwxr-xr-x 2 bob bob 4096 2008-05-14 16:53 .ssh 
bobalaika:-$ chmod 700 .ssh/ 

bobelaika:-$ 


5.5.3. id rsa şi id rsa.pub 


Comanda ssh-keygen generează două chei în .ssh. Cheia publică este numită 
-/.ssh/id_rsa.pub. Cheia privată este numită -/.ssh/id_ rsa. 


[aliceaRHEL5 -]$ Is -l .ssh/ 

total 16 

ui criza 1 alice alice 1671 May 1 07:38 id_rsa 
-rw-r--r-- 1 alice alice 393 May 1 07:38 id_rsa.pub 


Fişierele vor fi numite id dsa şi id dsa.pub cînd folosim dsa în loc de rsa. 
5.5.4. copierea cheii publice către celălalt computer 


Pentru a copia cheia publică de la serverul lui Alice pe laptopul lui Bob, Alice 
decide să folosească scp. 


[aliceQRHEL5 .ssh]$ scp id_rsa.pub bobe192.168.48.92:-/.ssh/authorized_keys 
bobQ192.168.48.92's password: 
id_rsa.pub 100% 393 0.4KB/s 00:00 


Fiți atenți cînd copiaţi cea de-a doua cheie! Nu suprascrieți prima cheie, în 
schimb adăugați cheia în acelaşi fişier -/.ssh/authorized_keys! 


cat id_rsa.pub >> =/.ssh/authorized_keys 

Alice ar putea să folosească ssh-copy-id ca în acest exemplu. 

ssh-copy-id -i .ssh/id_rsa.pub bobe192.168.48.92 

5.5.5. authorized_ keys 

în directorul -/.ssh, puteţi crea un fişier numit authorized keys. Acest fişier 
poate conține una sau mai multe chei publice de la oamenii în care aveţi 


încredere. Acei oameni de încredere pot utiliza cheile lor private pentru a 
demonstra identitatea lor şi să obţină acces la contul dumneavoastră prin ssh 
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(fără parolă). Acest exemplu arată fişierul authorized_ keys a lui Bob care 
conține cheia publică a lui Alice. 


bobelaika:-$ cat .ssh/authorized_keys 

ssh-rsa AAAAB3NzaC1yc2EAAAABIWwAAAQEApCQ9xzyLzJes1sR+hPygw2vyzt1D4zTLgk| 
MDWBR4MmMFuUZD /0583I13Lg/Q+IIq0RSksNzaL /BNLDou1jMpBe2Dmf /u22u4Kmg LIJBfDhei 
yTmGSBzeNYCYRSMq78CT919a+y6x /shucwhaILsy8A2XfIJ9VCggkVtu7XIWFDL2cum08/01 
mRFwVrfc/uPsAn5XkkTscl4g21mQbnp9wIJC40pGSIXXMuFOk8MgCb5ieSnpKFniAKM+tEo) 
/vjDGS13F /bxu691jscrUOVudIoOSo98HUfEf7jKBRikxGAC7I4HLa+/zX730IvRFAb2hvi 
tUhn6RHrBtUJUjbSGiYeFTLDfcTQ== aliceQRHEL5 


5.5.6. ssh fără parolă 


Alice poate acum să utilizeze ssh fără parolă ca să se conecteze la laptopul lui 
Bob. În combinație cu capabilitatea ssh de a rula comenzi pe gazda remote, asta 
poate fi folositor în conducte printre maşini diferite. 


[aliceaRHEL5 -]$ ssh bobQ192.168.48.92 "ls -1l .ssh"” 

total 4 

-rw-r--r-- 1 bob bob 393 2008-05-14 17:03 authorized_keys 
[aliceGRHEL5 -]$ 


5.6. destinație X prin ssh 


O altă autorizare populară a ssh este numită destinaţie X11 (X11 forwarding) şi 
este implementată cu ssh-xX. 


Mai jos este un exemplu a destinaţiei X: utilizatorul paul intră în sistem ca 
utilizatorul greet pe computerul ei pentru a începe aplicația grafică mozilla- 
thunderbird. Deşi aplicaţia va rula pe computerul remote de la greet, ea va fi 
afişată pe ecran ca ataşată local la computerul lui paul. 


pauledebian5:-/PDFȘ ssh -X greetegreet.dyndns.org -p 55555 

Warning: Permanently added the RSA host key for IP address | 
181.240.174.161!' to the list of known hosts. 

Password: 

Linux raika 2.6.8-2-686 41 Tue Aug 16 13:22:48 UTC 2005 1686 GNU/Linux 


Last login: Thu Jan 18 12:35:56 2007 
greeteraika:-ș ps fax | grep thun 
greetâraika:-$ mozilla-thunderbird & 
[1] 30336 


5.7. depanare ssh 


Folosiţi ssh -v pentru a obține informaţie debug despre încercările de conexiune 
ssh. 
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pauledebian5:=$ ssh -v berte192.168.1.192 

OpenSSH_4.3p2 Debian-8ubuntul, OpenSSL 0.9.8c 05 Sep 2006 
debugl: Reading configuration data /home/paul/.ssh/config 
debugl: Reading configuration data /etc/ssh/ssh_config 
debugl: Applying options for x 

debugl: Connecting to 192.168.1.192 [192.168.1.192] port 22. 
debugl: Connection established. 

debugl: identity file /home/paul/.ssh/identity type -1 
debugl: identity file /home/paul/.ssh/id_rsa type 1 

debugl: identity file /home/paul/.ssh/id_dsa type -1 

debugl: Remote protocol version 1.99, remote software version OpenSSH_3 
debugl: match: OpenSSH_3.9pl pat OpenSSH_3.x 

debugl: Enabling compatibility mode for protocol 2.0 


5.8. sshd 


Serverul ssh este numit sshd şi vine dat de pachetul openssh-server. 


rootâubul204-4 dpkg -l openssh-server | tail -1 
ii openssh-server 1:5.9pl-5ubuntul secure shell (SSH) server,... 


5.9. chei sshd 
Cheile publice folosite de serverul sshd sînt localizate în /etc/ssh şi au 


drepturi de citire pentru toți. Cheile private sînt cu drepturi de citire doar 
pentru root. 


rootQubul204-4 Is -1l /etc/ssh/ssh_host_x 


rw 1 root root 668 Jun 7 2011  /etc/ssh/ssh_host_dsa_key 
-rw-r--r-- 1 root root 598 Jun 7 2011 /etc/ssh/ssh_host_dsa_key.pub 
rw 1 root root 1679 Jun 7 2011  /etc/ssh/ssh_host_rsa_key 


-rw-r--r-- 1 root root 390 Jun 7 2011 /etc/ssh/ssh_host_rsa_key.pub 

5.10. ssh-agent 

Cînd generăm chei cu ssh-keygen, avem opțiunea de a tasta o parolă pentru a 
proteja accesul la chei. Pentru a evita să tastăm tot timpul această parolă, 


puteți adăuga chei în ssh-agent folosind ssh-add. 


Cele mai multe distribuții Linux vor începe ssh-agent în mod automat cînd intrăm 
pe sistem. 


rootâubul204-4 ps -ef | grep ssh-agent 
paul 2405 2365 0 08:13 ? 00:00:00 /usr/bin/ssh-agent... 


Acestă captură de ecran prescurtată arată cum să utilizăm ssh-add pentru a lista 
cheile care sînt curent adăugate la ssh-agent. 


pauledebian5:=-$ ssh-add -L 
ssh-rsa AAAAB3NzaC1lyc2EAAAABIwAAAQEAvgI+Vx5UrIsusZPl8da8URHGsxG7yivv3/| 


wMGqa48Kelwom8TGb4Sgcwpp/VO/ldA5m+BGCw== pauleadeb503 
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5.11. practică: ssh 

0. Asiguraţi-vă că aveți acces la două computere Linux, sau lucraţi împreună cu 
un partener pentru acest exercițiu. Pentru această practică, vom numi una dintre 
maşini server. 


1. Instalați sshd pe server. 


2. Verificaţi în fişierele de configurare ssh să fie permis doar protocolul cu 
versiunea 2. 


3. Folosiţi ssh pentru a intra pe server, listați directorul curent şi apoi 
ieşiţi din server. 


4. Folosiţi scp pentru a copia un fişier de pe computer pe server. 

5. Folosiţi scp pentru a copia un fişier de pe server pe computer. 

6. (opțional, funcționează doar cînd aveţi o instalare grafică Linux). Instalaţii 
pachetul xeyes pe server şi folosiți ssh pentru a executa xeyes pe server, dar 
afişați-l în client. [N.tr. Client se numeşte maşina care efetuează cererea]. 

7. (opțional, la fel ca mai sus). Creați un bookmark în firefox, apoi închideţi 
firefox pe client şi pe server. Folosiţi ssh -X pentru a executa firefox pe 


ecran, dar pe computerul colegului. Ați văzut bookmark-ul colegului? 


8. Folosiţi ssh-keygen pentru a crea o pereche de chei fără parolă. Setați ssh 
fără parolă între dvs. şi coleg (sau între client şi server). 


9. Verificaţi dacă sînt corecte permisiunile fişierelor cheilor de pe server; 
permisiuni cu drepturi de citire pentru toți pentru cheile publice şi doar acces 
root pentru cheile private. 


10. Verificaţi dacă ssh-agent se execută. 


11. (opţional). Protejaţi perechile de chei cu o parolă, apoi adăugați aceste 
chei la ssh-agent şi testați conexiunea fără parolă ssh pe server. 
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5.12. soluţie: ssh 

0. Asiguraţi-vă că aveți acces la două computere Linux, sau lucraţi împreună cu 
un partener pentru acest exerciţiu. Pentru această practică, vom numi una dintre 
maşini server. 


1. Instalați sshd pe server. 


apt-get install openssh-server (pe Ubuntu/Debian) 
yum -y install openssh-server (pe Centos/Fedora/Red Hat) 


2. Verificaţi în fişierele de configurare ssh să fie permis doar protocolul cu 
versiunea 2. 


grep Protocol /etc/ssh/sshx_config 


3. Folosiţi ssh pentru a intra pe server, listați directorul curent şi apoi 
ieşiţi din server. 


usereclient$ ssh userâserver-ip-address 
userQserverș pwd 

/home/user 

userâserverș exit 


4. Folosiţi scp pentru a copia un fişier de pe computer pe server. 


scp localfile usereserver:- 


5. Folosiţi scp pentru a copia un fişier de pe server pe computer. 
scp userâserver:-/serverfile 


6. (opțional, funcționează doar cînd aveţi o instalare grafică Linux). Instalaţii 
pachetul xeyes pe server şi folosiți ssh pentru a executa xeyes pe server, dar 
afişați-l în client. 


pe server: 
apt-get install xeyes 
pe client: 

ssh -X userâserver-ip 
xeyes 


7. (opțional, la fel ca mai sus). Creați un bookmark în firefox, apoi închideţi 
firefox pe client şi pe server. Folosiţi ssh -X pentru a executa firefox pe 
ecran, dar pe computerul colegului. Ați văzut bookmark-ul colegului? 


8. Folosiţi ssh-keygen pentru a crea o pereche de chei fără parolă. Setați ssh 
fără parolă între dvs. şi coleg (sau între client şi server). 


Vedeţi soluţia în carte la capitolul "setarea ssh fără parolă". 

9. Verificaţi dacă sînt corecte permisiunile fişierelor cheilor de pe server; 
permisiuni cu drepturi de citire pentru toți pentru cheile publice şi doar acces 
root pentru cheile private. 


Is -l /etc/ssh/ssh_host_x* 


10. Verificaţi dacă ssh-agent se execută. 


59 


ps fax | grep ssh-agent 


11. (opţional). Protejaţi perechile de chei cu o parolă, apoi adăugați aceste 
chei la ssh-agent şi testați conexiunea fără parolă ssh pe server. 


man ssh-keygen 


man ssh-agent 
man ssh-add 
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Capitolul 6. introducere în nfs 


Network File System (sau pe scurt nfs) (sistem fişier network) ne permite încă 
din anii 1980 să partajăm un director cu alte computere pe reţea. 


în acest capitol vedem cum să setăm un server nfs şi un computer client nfs. 
6.1. versiunile protocol nfs 


Versiunile vechi 2 şi 3 sînt fixate (udp) prin default (dar ele pot utiliza 
tcp). Versiunea mai recentă nfs versiunea 4 aduce un protocol fixat cu mai bună 
performanţă şi securitate mai puternică. 


Versiunea NFS 4 a fost definită în rfc 3010 în 2000 şi rfc 3530 în 2003 şi cere 
tcp (portul 2049). Suportă de asemeni autentificare de utilizator Kerberos ca o 
opțiune cînd se montează un partaj. Versiunile NFS 2 şi 3 autentifică doar 
gazda. 


6.2. rpcinfo 


Clienţii se conectează la server folosind rpc (pe Linux asta poate fi aranjat de 
către daemonul portmap). Priviţi la rpcinfo pentru a verifica dacă nfs şi 
serviciile puse în legătură cu el se execută. 


rooteRHELv4u2:-4+ /etc/init.d/portmap status 
portmap (pid 1920) is running... 
rootâRHELv4u2:-% rpcinfo -p 


program vers proto port 

100000 2 tcp 111 portmapper 
100000 2 udp 111 portmapper 
100024 1 udp 32768 status 
100024 1 tcp 32769 status 
rootaRHELv4u2:-t service nfs start 

Starting NFS services: [OK] 
Starting NFS quotas: [OK] 
Starting NFS daemon: [OK] 
Starting NFS mountd: [OK] 


Aceaiaşi comandă rpcinfo cînd este deschis nfs. 
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rooteRHELv4u2:-% rpcinfo -p 


program vers proto port 

100000 2 tcp 111 portmapper 
100000 2 tcp 111 portmapper 
100024 1 udp 32768 status 
100024 1 tcp 32769 status 
100011 1 udp 985 rquotad 
100011 2 udp 985 rquotad 
100011 1 tcp 988 rquotad 
100011 2 tcp 988 rquotad 
100003 1 udp 2049 nfs 
100003 3 udp 2049 nfs 
100003 4 udp 2049 nfs 
100003 1 tcp 2049 nfs 
100003 3 tcp 2049 nfs 
100003 4 tcp 2049 nfs 
100021 1 udp 32770 nlockmgr 
100021 3 udp 32770 nlockmgr 
100021 4 udp 32770 nlockmgr 
100021 hi tcp 32789 nlockmgr 
100021 3 tcp 32789 nlockmgr 
100021 4 tcp 32789 nlockmgr 
100005 1 udp 1004 mountd 
100005 1 tcp 1007 mountd 
100005 2 udp 1004 mountd 
100005 2 tcp 1007 mountd 
100005 3 udp 1004 mountd 
100005 3 tcp 1007 mountd 


rootaRHELv4u2 : -% 
6.3. configurare server 


nfs este configurat în /etc/exports. Ați putea (prin ldap?) să sincronizaţți 
userid între computere dacă folosiți mult nfs. 


Opțiunea rootsquash va schimba contul de utilizator UID 0 la UID nobody (sau 
similar). Opțiunea sync va scrie datele care se pot scrie pe disk înainte de a 
completa cererea client. 


6.4. /etc/exports 


Aici este un exemplu /etc/exports pentru a explica sintaxa: 
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paulelaika:-$ș cat /etc/exports 
+ Everyone can read this share 
/mnt/data/iso *(ro) 


4 Only the computers named pasha and barry can readwrite this one 
/var/www pasha(rw) barry(rw) 


4 same, but without root squashing for barry 
/var/ftp pasha(rw) barry(rw,no_root_squash) 


everyone from the netsec. local domain gets access 
/var/backup x „netsec. local(rw) 


4 ro for one network, rw for the other 
/var/upload 192.168.1.0/24(ro) 192.168.5.0/24(rw) 


încarnări mai recente a nfs cer opțiunea subtree check să fie setată în mod 
explicit (sau unset cu no _subtree check). Fişierul /etc/exports apoi arată 
astfel: 


rootedebian6 -t cat /etc/exports 
Everyone can read this share 
/srv/îso x*(ro,no_subtree_check) 


4 Only the computers named pasha and barry can readwrite this one 
/var/www pasha(rw,no_subtree_check) barry(rw,no_subtree_check) 


4 same, but without root squashing for barry 
/var/ftp pasha(rw,no_subtree_check) barry(rw,no_root_squash,no_subtree_check) 


6.5. exportfs 


Nu trebuie să reporniți serverul nfs pentru a începe să exportați exporturile 
noi create. Puteţi folosi comanda exportfs -va pentru a face asta. Va scrie 
directoarele exportate în /var/lib/nfs/etab, unde sînt imediat aplicate. 


rootâdebian6 = exportfs -va 
exporting pasha:/var/ftp 
exporting barry:/var/ftp 
exporting pasha: /var/wum 
exporting barry:/var/wum 
exporting *:/srv/iso 


6.6. configurare client 


Am văzut comanda mount şi fişierul /etc/fstab înainte. 


rooteRHELv4u2:-% mount -t nfs barry:/mnt/data/iso /home/project55/ 
rooteRHELv4u2:-4 cat /etc/fstab | grep nfs 

barry:/mnt/data/iso  /home/iso nfs defaults 00 
rootaRHELv4u2 : -% 


Aici este un alt exemplu simplu. Să presupunem că oamenii din project55 ne spun 
că au nevoie de cîteva imagini CD-ROM, şi noi le avem deja disponibile pe un 
server nfs. Am putea tasta următoarea comandă pentru a monta acest spațiu de 
stocare pe punctul lor de montare /home/project55. 
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rooteRHELv4u2:-4% mount -t nfs 192.168.1.40:/mnt/data/iso /home/project55/ 
rooteRHELv4u2:-4 Is -lh /home/project55/ 

total 3.66 
drwxr-xr-x 2 1000 1000 4.0K Jan 16 17:55 RHELv4ul 

drwxr-xr-x 2 1000 1000 4.0K Jan 16 14:14 RHELv4u2 

drwxr-xr-x 2 1000 1000 4.0K Jan 16 14:54 RHELv4u3 

drwxr-xr-x 2 1000 1000 4.0K Jan 16 11:09 RHELv4u4 

-rw-r--r-- 1 root root 1.6G Oct 13 15:22 sled1O-vmwarews5-vm.zip 


rootaRHELv4u2 : -% 
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6.7. practică: introducere la nfs 

1. Creați două directoare cu cîteva fişiere. Folosiţi nfs pentru a partaja unul 
dintre ele cu drepturi doar de citire, celălalt trebuie să aibă doar drepturi de 
scriere. Puneți pe coleg să se conecteze la ele pentru a le testa. 


2. Investigaţți utilizatorul proprietar al fişierelor create de coleg. 


3. Protejaţi un partaj prin adresă ip sau hostname, astfel încât doar colegul să 
se poată conecta. 
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Capitolul 7. introducere la rețelistică 
7.1. introducere la iptables 
7.1.1. iptables firewall 


Kernel-ul Linux are un firewall înglobat numit iptables. Pentru a opri firewall- 
ul iptables pe Red Hat, folosiți comanda service. 


rootâRHELv4u4:-4 service iptables stop 


Flushing firewall rules: [ OK ] 
Setting chains to policy ACCEPT: filter [. OK ] 
Unloading iptables modules: [ OK ] 


rootaRHELv4u4: -% 


Modalitatea uşoară de a configura iptables, este să folosiți un utilitar grafic 
precum kmyfirewall KDE sau Security Level Configuration Tool. 0 puteți găsi pe 
ultima în meniul grafic, undeva în System Tools - Security, sau puteți săo 
porniţi tastînd system-config-securitylevel în bash. Aceste utilitare permit 
unele configurări firewall de bază. Puteți decide dacă vreți să porniţi sau să 
opriți firewall-ul, şi ce porturi standard tipice sînt permise cînd firewall-ul 
este activ. Puteţi chiar să adăugaţi unele porturi la comandă. Cînd terminaţi, 
configurația este scrisă în /etc/sysconfig/iptables pe Red Hat. 


rooteRHELv4u4:-4 cat /etc/sysconfig/iptables 

4 Firewall configuration written by system-config-securitylevel 

+ Manual customization of this file is not recommended. 

xfilter 

: INPUT ACCEPT [0:0] 

: FORWARD ACCEPT [0:0] 

:O0UTPUT ACCEPT [0:0] 

:RH-Firewall-1-INPUT - [0:0] 

-A INPUT -j RH-Firewall-1-INPUT 

-A FORWARD -j RH-Firewall-1-INPUT 

-A RH-Firewall-1-INPUT -i lo -j ACCEPT 

-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT 

-A RH-Firewall-1-INPUT -p 50 -j ACCEPT 

-A RH-Firewall-1-INPUT -p 51 -j ACCEPT 

-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT 

-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT 

-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A RH-F...NPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT 
-A RH-F...NPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT 
-A RH-F...NPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT 
-A RH-F...NPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT 
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited 
COMMIT 

rootaRHELv4u4: -% 


Pentru a porni serviciul, tastați comanda service iptables start. Puteţi 
configura iptables să înceapă în timpul butării cu chkconfig. 


rootâRHELv4u4:-4 service iptables start 
Applying iptables firewall rules: [OK] 
rooteRHELv4u4:-% chkconfig iptables on 
rootaRHELv4u4: -% 


66 


Una dintre autorizările frumoase ale iptables este că ea afişează informația 
status cînd este interogată cu comanda service iptables status. 


rootâRHELv4u4:-% service iptables status 


Table: 


Chain INPUT (policy ACCEPT) 
prot opt source 


target 


filter 


RH-Firewall-1-INPUT all -- 0.0.0.0/0 


Chain FORWARD (policy ACCEPT) 


target 


prot opt source 


RH-Firewall-1-INPUT all -- 0.0.0.0/0 


Chain OUTPUT (policy ACCEPT) 
prot opt source 


target 


destination 
0.0.0.0/0 


destination 
0.0.0.0/0 


destination 


Chain RH-Firewall-1-INPUT (2 references) 
destination 


target 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
ACCEPT 
REJECT 


rootaRHELv4u4: -% 


prot opt 
all -- 


OO 00000000 
loliolioliolioliolioliolioclioliociio) 


source 


.0. 


0/0 


0.0/0 
0.0/0 
0.0/0 
0.0/0 
0.0/0 
.0. 
(0) 
(0) 
(0) 
(0) 
0) 


0/0 


„0/0 
„0/0 
„0/0 
„0/0 
„0/0 


0.0. 


O OO 0000 NEO 


„0/0 
„0/0 
„0/0 
„0/0 
„0.251 
„0/0 
„0/0 
„0/0 
„0/0 
„0/0 
„0/0 
„0/0 


icmp type 255 


udp dpt:5353 

udp dpt:631 

state RELATED,ESTABLISHED 

state NEW tcp dpt:22 

state NEW tcp dpt:80 

state NEW tcp dpt:21 

state NEW tcp dpt:25 

reject-with icmp-host-prohibited 


Stăpînirea configurației firewall cere o cunoaştere decentă a tcp/ip. Tutoriale 
iptables bune pot fi găsite online la 
http://iptables-tutorial.frozentux.net/iptables-tutorial.html şi aici la 
http://tldp.org/HOWTO/IP-Masquerade-HOWTO/ . 
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7.2. practică: iptables 
1. Verificaţi dacă firewall-ul se execută. 


2. Închideţi firewall-ul care se execută. 
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7.3. soluție: iptables 


1. Verificaţi dacă firewallul se execută. 


rooterhel55 =4 service iptables status | head 

Table: filter 

Chain INPUT (policy ACCEPT) 

num target prot opt source destination 

1 RH-Firewall-1-INPUT all  -- 0.0.0.0/0 0.0.0.0/0 


Chain FORWARD (policy ACCEPT) 

num target prot opt source destination 

1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 
Chain OUTPUT (policy ACCEPT) 


2. Închideţi firewallul care se execută. 


rootârhel55 = service iptables stop 


Flushing firewall rules: [ OK ] 
Setting chains to policy ACCEPT: filter [ OK ] 
Unloading iptables modules: k OK ] 


rootârhel55 = service iptables status 
Firewall is stopped. 
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7.4. xinetd şi inetd 
7.4.1. superdaemonul 


Cînd resursele ca memoria RAM erau limitate, unui super-server îi era 
încredințat să asculte pe toate soclurile şi să înceapă daemonul potrivit doar 
cînd era necesar. Servicii ca swat, telnet şi ftp sînt în mod tipic servite de 
un astfel de super-server. Superdaemonul xinetd este mai recent decît inetd. Vom 
discuta configurația pentru ambii daemoni. 


Distribuțiile Linux recente ca RHEL5 şi Ubuntu 10.04 nu activează inetd sau 
xinetd prin default, ci doar dacă o aplicație o solicită. 


7.4.2. inetd sau xinetd 


Mai întîi verificaţi dacă computerul rulează inetd sau xinetd. Acest Debian 4.0 
Etch execută inetd. 


rootâbarry:-t ps fax | grep iînet 
3870 ? Ss 0:00 /usr/sbin/inetd 


Acest Red Hat Enterprise Linux 4 update 4 rulează xinetd. 


[rooteRHEL4b -=]+ ps fax | grep inet 
3003 ? Ss 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid 


Ambii daemoni au aceaşi funcționalitate (ascultă pe multe porturi, încep alţi 
daemoni cînd aceştia sînt necesari), dar ei au fişiere diferite de configurație. 


7.4.3. xinetd superdaemon 


Daemonul xinetd este deseori numit un superdaemon pentru că ascultă multe 
conexiuni intrare, şi dă start altor daemoni cînd este necesar. Cînd este 
primită o cerere de conexiune, xinetd va căuta mai întîi învelişurile TCP 
(/etc/hosts.allow şi /etc/hosts.deny) şi apoi va da controlul conexiunii altui 
daemon. Acest superdaemon este configurat în /etc/xinetd.conf şi fişierele în 
directorul /etc/xinetd.d. Să ne uităm mai întîi la /etc/xinetd.conf. 


pauleRHELv4u2:-$ cat /etc/xinetd.conf 

i 

4 Simple configuration file for xinetd 

i 

4 Some defaults, and include /etc/xinetd.d/ 


defaults 

Î. 

instances = 60 

log_type = SYSLOG authpriv 
log_on_success = HOST PID 
log_on_failure = HOST 

cps = 25 30 

) 


includedir /etc/xinetd.d 


pauleRHELv4u2:-$ 


Potivit setărilor din acest fişier, xinetd poate să mînuiască 60 de cereri de 
client odată. Foloseşte facilitatea authpriv pentru a jurnaliza adresele ip 
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gazdă şi pid-ul daemonilor extinşi cu succes. Cînd un serviciu (cunoscut ca 
protocol legat unui daemon) primeşte mai mult de 25 cps (conexiuni per secundă), 
ține cererile pentru 30 de secunde. 


Directorul /etc/xinetd.d conține mai multe fişiere de configuraţie specifică. să 
ne uităm de asemeni la unul din ele. 


pauleRHELv4u2:-$ 1s /etc/xinetd.d 


amanda chargen-udp echo klogin rexec talk 
amandaidx cups-lpd echo-udp krb5-telnet rlogin telnet 
amidxtape daytime eklogin kshell rsh tftp 
auth daytime-udp finger ktalk rsync time 
chargen dbskkd-cdb gssftp ntalk swat time-udp 


pauleRHELv4u2:-$ cat /etc/xinetd.d/swat 
+ default: off 
4 description: SWAT is the Samba Web Admin Tool. Use swat | 


ii to configure your Samba server. To use SWAT, | 
ii connect to port 901 with your favorite web browser. 
service swat 

1 

port = 901 

socket_type = stream 

wait = no 

only_from = 127.0.0.1 

user = root 

server = /usr/sbin/swat 

log_on_failure += USERID 

disable = yes 

Ş: 


pauleRHELv4u2:-$ 


Serviciile ar trebui listate în fişierul /etc/services. Serviciul port determină 
portul, şi trebuie să fie la fel ca portul specificat în /etc/services. 
socket_type ar trebui setat pe stream pentru serviciile tcp (şi dgram pentru 
udp). log _on failure+= concatenează userid pentru a jurnaliza mesaje formatate 
în /etc/xinetd.conf. Ultima setare disable poate fi setată la yes sau no. A seta 
asta cu no înseamnă că serviciul este pornit! 


Verificaţi paginile de manual al xinetd şi xinetd.conf pentru mai multe opțiuni 
de configurare. 


7.4.4. inetd superdaemon 


Acest superdaemon are doar un singur fişier de configurare în /etc/inetd.conf. 
Fiecare protocol sau daemon pe care îl ascultă, primeşte o linie în acest 
fişier. 


rootâbarry:-t grep ftp /etc/inetd.conf 
tftp dgram udp wait nobody /usr/sbin/tcpd /usr/sbin/in.tftpd /boot/tftp 
rootâbarry:-4 


Puteți deautoriza un serviciu în inetd.conf de deasupra punînd un + la începutul 


acelei linii. Aici este un exemplu a deautorizării interfeţei web vMuare (care 
ascultă pe portul tcp 902). 


paulelaika:-$ grep vmware /etc/inetd.conf 
4902 stream tcp nowait root /usr/sbin/vmware-authd vmware-authd 
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7.5. practică: inetd şi xinetd 

1. Verificaţi pe toate sistemele dacă ele folosesc xinetd sau inetd. 

2. Priviţi fişierele de configurare. 

3. (Dacă telnet est instalabil, atunci înlocuiți swat, în aceste întrebări, cu 
telnet) Este swat instalat? Dacă nu, atunci instalați swat şi priviți la 


schimbările din configurarea (x)inetd. Este swat oprit sau deschis? 


4. Opriți swat, testați-l. Deschideţi swat, testați-l. 
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7.6. sistem de fișier în reţea 
7.6.1. versiuni protocol 


Versiunile vechi nfs (network file system) 2 şi 3 sînt udp prin default, dar ele 
pot folosi tcp. Clienţii se conectează la server folosind rpc (pe Linux asta e 
controlat de daemonul portmap). Priviţi la rpcinfo pentru a verifica dacă nfs şi 
serviciile puse în legătură cu el se execută. 


rooteRHELv4u2:-4+ /etc/init.d/portmap status 
portmap (pid 1920) is running... 
rootâRHELv4u2:-% rpcinfo -p 

program vers proto port 

100000 2 tcp 111  portmapper 

100000 2 udp 111 portmapper 

100024 1 udp 32768 status 

100024 1 tcp 32769 status 
rootaRHELv4u2:;-t service nfs start 


Starting NFS services: [ OK ] 
Starting NFS quotas: [ OK ] 
Starting NFS daemon: [ OK ] 
Starting NFS mountd: [ OK ] 


Aceeşi comandă rpcinfo cînd este deschis nfs. 


rootâRHELv4u2:-% rpcinfo -p 


program vers proto port 

100000 2 tcp 111 portmapper 
100000 2 udp 111 portmapper 
100024 1 udp 32768 status 
100024 1 tcp 32769 status 
100011 1 udp 985 rquotad 
100011 2 udp 985 rquotad 
100011 1 tcp 988 rquotad 
100011 2 tcp 988 rquotad 
100003 2 udp 2049 nfs 
100003 3 udp 2049 nfs 
100003 4 udp 2049 nfs 
100003 2 tcp 2049 nfs 
100003 3 tcp 2049 nfs 
100003 4 tcp 2049 nfs 
100021 1 udp 32770 nlockmgr 
100021 3 udp 32770 nlockmgr 
100021 4 udp 32770 nlockmgr 
100021 1 tcp 32789 nlockmgr 
100021 3 tcp 32789 nlockmgr 
100021 4 tcp 32789 nlockmgr 
100005 1 udp 1004 mountd 
100005 1 tcp 1007 mountd 
100005 2 udp 1004 mountd 
100005 2 tcp 1007 mountd 
100005 3 udp 1004 mountd 
100005 3 tcp 1007 mountd 


rootaRHELv4u2 : -% 
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nfs versiunea 4 cere tcp (portul 2049) şi suportă ca opțiune autentificare de 
utilizator Kerberos. Autentificarea nfs are loc doar cînd montăm ceea ce 
partajăm. Versiunile 2 şi 3 nfs autentifică doar gazda. 


7.6.2. configurare server 


nfs este configurat în /etc/exports. Aici este un exemplu din /etc/export 

pentru a explica sintaxa. Aveţi nevoie de un mijloc (domeniu NIS sau LDAP) 
pentru a sincroniza user id printre computere cînd folosiți mult nfs. Opțiunea 
rootsquash va schimba contul utilizator UID 0 la UID nfsnobody. Opțiunea sync va 
scrie pe disk înainte de a completa cererea client. 


paulelaika:-$ cat /etc/exports 
Everyone can read this share 
/mnt/data/iso *(ro) 


4 Only the computers barry and pasha can readwrite this one 
/var/wwmw pasha(rw) barry(rw) 


4 same, but without root squashing for barry 
/var/ftp pasha(rw) barry(rw,no_root_squash) 


everyone from the netsec. lan domain gets access 
/var /backup x „netsec. lan(rw) 


i ro for one network, rw for the other 
/var/upload  192.168.1.0/24(ro) 192.168.5.0/24(rw) 


Nu trebuie să reporniți serverul nfs pentru a începe să exportați noile 
exporturi create. Puteţi folosi comanda exportfs-va pentru a face asta. Va scrie 
directoarele exportate în /var/lib/nfs/etab, unde ele sînt imediat aplicate. 


7.6.3. configurare client 
Am văzut comanda mount şi fişierul /etc/fstab înainte. 


rooteRHELv4u2:-% mount -t nfs barry:/mnt/data/iso /home/project55/ 
rooteRHELv4u2:-4 cat /etc/fstab | grep nfs 

barry:/mnt/data/iso /home/'iso nfs  defaults 00 
rootaRHELv4u2 : -% 


Aici este un alt exemplu simplu. Să presupunem că oamenii din project55 vă 
transmit că au nevoie doar de două imagini CD-ROM, şi deja le aveți disponibile 
pe un server nfs. Puteți tasta următoarea comandă pentru a monta acest spațiu de 
stocare pe punctul lor de montare /home/project55. 


rooteRHELv4u2:-% mount -t nfs 192.168.1.40:/mnt/data/iso /home/project55/ 
rooteRHELv4u2:-4 Is -lh /home/project55/ 

total 3.6G 
drwxr-xr-x 2 1000 1000 4.0K Jan 16 17:55 RHELv4ul 

drwxr-xr-x 2 1000 1000 4.0K Jan 16 14:14 RHELv4u2 

drwxr-xr-x 2 1000 1000 4.0K Jan 16 14:54 RHELv4u3 

drwxr-xr-x 2 1000 1000 4.0K Jan 16 11:09 RHELv4u4 

-rw-r--r-- 1 root root 1.6G Oct 13 15:22 sled10-vmwarews5-vm.zip 


rootaRHELv4u2 : -% 
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7.7. practică: sistem fișier în reţea 

1. Creați două directoare cu cîteva fişiere. Folosiţi nfs pentru a partaja unul 
dintre ele cu drepturi doar de citire, celelalte trebuie să fie cu drepturi de 
scriere. Puneți pe coleg să se conecteze la ele pentru a le testa. 


2. Investigaţți proprietarul owner a fişierelor create de coleg. 


3. Protejaţi un partaj de adresă ip sau un hostname, astfel încât doar colegul 
să se poată conecta. 
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Partea II. apache şi squid 
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Conţinut 


server web apache. 

introducere la apache. i 

gazde port virtual pe Debian. 

gazde virtuale denumite pe Debian. 
website protejat cu parolă pe Debian. 
gazde virtuale port pe Centos. 

gazde virtuale denumite pe Centos. 
website protejat cu parolă pe Centos. 
depanare apache. De d 00 a Sa a a 
exemplu gazde virtuale. 

„10. aliasuri şi redirectări. 

„11. mai mult despre .htaccess. 

„12. trafic. a 

„13. certificat auto- semnat. pe Debian. 
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„15. practică: apache. 


introducere la squid. 
despre servere proxy. 
instalare squid. 

port 3128. 

start şi stop. 

setări client proxy. 
imagini întoarse. 
/var/ log/squid. 
controlul acesului 
testare squid. 
rezoluție nume. 
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„14. certificat auto-semnat pe RHEL/CentoS. 


Capitolul 8. server web apache 
În acest capitol învăţăm cum să setăm un server web cu software apache. 


Potrivit NetCraft (http://news.netcraft.com/archives/web_server_survey.html) 
aproape şaptezeci la sută din toate serverele web execută apache. Numele este 
derivat din a patchy web server (server web petic), datorită tuturor oamenilor 
care au contribuit la scrierea petic a serverului NCSA httpd. 


Capitolele următoare vor mări acest server web în stiva LAMP (Linux, Apache, 
MySQL, Perl/PHP/Python). 


8.1. introducere la apache 
8.1.1. instalare pe Debian 


Acestă captură de ecran arată că nu este nici un server apache instalat, nici că 
directorul /var/wwum există. 


rootâdebian7:-4 Is -l /var/wum 
1s: cannot access /var/wum: No such file or directory 
rootedebian7:-4% dpkg -l | grep apache 


Pentru a instala apache pe Debian: 


rootedebianr:-t aptitude install apache2 

The following NEW packages will be installed: 

apache2 apache2-mpm-workerţay apache2-utilsţ(ay apache2.2-binţa) apache2.2-comi 
monțay libaprlţa) libaprutili(ay libaprutilil-dbd-sqglite3ta) libaprutili-ldap(a)i 
ssl-certţa) 

O packages upgraded, 10 newly installed, 0 to remove and 0 not upgraded. 

Need to get 1,487 kB of archives. After unpacking 5,673 kB will be used. 

Do you want to continue? [Y/n/?] 


După instalare, aceleaşi două comenzi ca mai sus vor arăta un rezultat diferit: 


rootâdebian7:-4 Is -l /var/wum 

total 4 

-rw-r--r-- 1 root root 177 Apr 29 11:55 index.html 

rootedebian7:-% dpkg -l | grep apache | tr -s!! 

ii apache2 2.2.22-13+debrul amd64 Apache HTTP Server metapackage 

ii apache2-mpm-worker 2.2.22-13+deb7ul amd64 Apache HTTP Server - high speed th 
readed model 

ii apache2-utils 2.2.22-13+deb7ul amd64 utility programs for webservers 

ii apache2.2-bin 2.2.22-13+deb7ul amd64 Apache HTTP Server common binary files 
ii apache2.2-common 2.2.22-13+deb7ul amd64 Apache HTTP Server common files 


8.1.2. instalare pe RHEL/Centos 


Notați că Red Hat şi distribuțiile derivate folosesc httpd ca pachet şi numele 
procesului în loc de apache. 


Pentru a verifica dacă apache este instalat în CentOS/RHEL: 


[rootecentos65 -]t rpm -q httpd 

package httpd is not installed 

[rootecentos65 =] Is -1l /var/wuww 

Is: cannot access /var/wumw: No such file or directory 
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Pentru a instala apache pe Centos: 
[rootecentos65 =] yum install httpd 


După rularea comenzii yum install httpd, serverul Centos 6.5 are apache instalat 
şi directorul /var/wwm există. 


[rootâcentos65 -]t rpm -q httpd 
httpd-2.2.15-30.e16.centos.x86_64 
[rootecentos65 =] Is -1l /var/wuw 
total 16 

drwxr-xr-x. 2 root root 4096 Apr 
drwxr-xr-x. 3 root root 4096 May 
drwxr-xr-x. 2 root root 4096 Apr 
drwxr-xr-x. 3 root root 4096 May 
[rootecentos65 -]t 


23:57 cgi-bin 
13:08 error 
23:57 html 
13:08 icons 


DUDU 


8.1.3. rulare apache pe Debian 


Astfel deschideţi apache2 pe Debian. 


rootedebian7:-4 service apache2 status 

Apache2 is NOT running. 

rootedebian7:-4 service apache2 start 

Starting web server: apache2apache2: Could not reliably determine the server's | 
fully qualified domain name, using 127.0.1.1 for ServerName 


Pentru a verifica, executați comanda service apache2 status din nou sau folosiți 
ps. 


rootedebian7:-t service apache2 status 
Apache2 is running (pid 3680). 
rootâdebian7r:-t ps -C apache2 


PID TTY TIME CMD 

3680 ? 00:00:00 apache2 
3683 ? 00:00:00 apache2 
3684 ? 00:00:00 apache2 
3685 ? 00:00:00 apache2 


rootadebian7r: = 


Sau folosiți wget şi file pentru a verifica dacă serverul dvs. web deserveşte un 
document html. 


rootedebian7:-4 wget 127.0.0.1 

--2014-05-06 13:27:02-- http://127.0.0.1/ 
Connecting to 127.0.0.1:80... connected. 

HTTP request sent, awaiting response... 200 OK 
Length: 177 [text/html] 

Saving to: 'index.html!' 


100% [==============222522225232223332222322222>3)]] 177 --.-K/s in Os 
2014-05-06 13:27:02 (15.8 MB/s) - 'index.html!' saved [177/177] 
rootedebian7:-t file index.html 


index .html: HTML document, ASCII text 
rootedebian7: = 
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Sau verificați dacă apache se execută deschizînd un browser web, şi navigaţi la 
adresa ip a serverului vostru. O pagină test apache ar trebui afişată. 


Puteți face următoarele pentru a evita rapid mesajul "could not reliably 
determine the fqdn' cînd restartați apache. 


rootedebian7:-4 echo ServerName Debian? >> /etc/apache2/apache2.conf 
rootâdebian7:-t service apache2 restart 

Restarting web server: apache2 ... waiting . 

rootedebian7:-4 


8.1.4. rulare apache pe Centos 


Pornirea httpd pe RHEL/CentoOS se face cu comanda service. 


[rootecentos65 -]+ service httpd status 
httpd is stopped 
[rootecentos65 -]4 service httpd start 
Starting httpd: httpd: Could not reliably determine the server's fully qualifiei 
d domain name, using 127.0.0.1 for ServerName 
[OK ] 
[rootâcentos65 -]t 


Pentru a verifica dacă apache se execută, folosiți ps sau tastați comanda 
service httpd status din nou. 


[rootecentos65 =] service httpd status 
httpd (pid 2410) is running... 
[rootecentos65 -]t ps -C httpd 


PID TTY TIME CMD 

2410 ? 00:00:00 httpd 
2412 ? 00:00:00 httpd 
2413 ? 00:00:00 httpd 
2414 ? 00:00:00 httpd 
2415 ? 00:00:00 httpd 
2416 ? 00:00:00 httpd 
2417 ? 00:00:00 httpd 
2418 ? 00:00:00 httpd 


2419 7? 00:00:00 httpd 
[rootâcentos65 =] 


Pentru a preveni mesajul "Could not reliably determine the fqdn' tastaţți 
următoarea comandă. 


[rootecentos65 -]4 echo ServerName Centos65 >> /etc/httpd/conf/httpd.conf 
[rootecentos65 =] service httpd restart 

Stopping httpd: [ OK |] 

Starting httpd: [ OK ] 

[rooteacentos65 =] 


8.1.5. fişier index pe Centos 


CentOs nu dă un fişier standard index.html sau index.php. Un simplu wget dă o 
eroare. 
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[rootecentos65 -]+ wget 127.0.0.1 

--2014-05-06 15:10:22-- http://127.0.0.1/ 

Connecting to 127.0.0.1:80... connected. 

HTTP request sent, awaiting response... 403 Forbidden 
2014-05-06 15:10:22 ERROR 403: Forbidden. 


în schimb cînd vizitaţi adresa ip a serverului într-un browser web primiți o 
pagină noindex.html Puteţi verifica asta folosind wget. 


[rootecentos65 -]+ wget http://127.0.0.1/error/noindex.html 
--2014-05-06 15:16:05-- http://127.0.0.1/error/noindex.html 
Connecting to 127.0.0.1:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 5039 (4.9K) [text/html] 

Saving to: “noindex.html” 


100% [==============2222222222232222222=23222)] 5,039 --.-K/s in Os 
2014-05-06 15:16:05 (289 MB/s) - “noindex.html” saved [5039/5039] 


[rootecentos65 -]t file noindex.html 
noindex.html: HTML document text 
[rootâcentos65 -]% 


Oricare fişier index.html făcut în /var/wwm/html va deservi ca un index pentru 
acest server web. 


[rootecentos65 -]+ echo 'Welcome to my website! > /var/wmw/html/index.html 
[rootecentos65 =] wget http://127.0.0.1 

--2014-05-06 15:19:16-- http://127.0.0.1/ 

Connecting to 127.0.0.1:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 22 [text/html] 

Saving to: “index.html” 


100% [==============22=222222232222222=2232223)] 22 --.-K/s in Os 
2014-05-06 15:19:16 (1.95 MB/s) - “index.html” saved [22/22] 


[rootecentos65 -]4 cat index.html 
Welcome to my website 


8.1.6. website default 
Schimbarea website-ului default a unui web server apache proaspăt instalat este 
uşoară. Tot ceea ce trebuie să faceţi este să creați (sau să schimbaţi) un 


fişier index.html în directorul DocumentRoot. 


Pentru a localiza directorul DocumentRoot pe Debian: 


rootedebian7:-t grep DocumentRoot /etc/apache2/sites-available/default 
DocumentRoot /var/www 


Asta înseamnă că /var/wmum/index.html este web-site-ul default. 
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rootâdebian7:-t cat /var/wmw/index.html 

<htmi><body><hl>It works!</h1> 

<p>This is the default web page for this server.</p> 

<p>The web server software is running but no content has been added, yet.</p> 
</body></html> 

rootedebian7: = 


Acest screenshot arată cum să localizați directorul DocumentRoot pe RHEL/Centos. 


[rootecentos65 -]+ grep ADocumentRoot /etc/httpd/conf/httpd.conf 
DocumentRoot "/var/wwm/htmL" 


RHEL/CentOS nu au o pagină web default (doar pagina de eroare noindex.html 
menționată mai înainte). Dar un fişier index.html creat în /var/wwu/html va fi 
în mod automat folosit ca pagină default. 


[rootecentos65 =] echo '<html><head><title>Default website</title></head><bodyi 
><p>A new web page</p></body></html>! > /var/wum/html/index.html 

[rootecentos65 -]t cat /var/wwm/html/index.html 

<html><head><title>Default website</title></head><body><p>A new web page</p></bi 
ody></html> 

[rooteacentos65 =] 


8.1.7. configurare apache 


Există multe similarități, dar de asemeni nişte diferențe cînd configurăm apache 
pe Debian sau pe Centos. Ambele familii de Linux vor avea propriile lor capitole 
cu exemple. 


Toată configurarea pe RHEL/Centos se face în /etc/httpd. 


[rooteacentos65 =] 

total 8 

drwxr-xr-x. 2 root root 4096 May 6 13:08 conf 

drwxr-xr-x. 2 root root 4096 May 6 13:08 conf.d 

Irwxrwxrwx. 1 root root 19 May 6 13:08 logs -> ../../var/log/httpd 
Irwxrwxrwx. 1 root root 29 May 6 13:08 modules -> ../../usr/lib64/httpd/modu' 
les 

Irwxrwxrwx. 1 root root 19 May 6 13:08 run —> ../../var/run/httpd 
[rooteacentos65 =] 


Debian (şi Ubuntu/Mint/ ..) folosesc /etc/apache2. 


rootedebian7:-4 ls -l /etc/apache2/ 


total 72 

-rw-r--r-- 1 root root 9659 May 6 14:23  apache2.conf 
drwxr-xr-x root root 4096 May 6 13:19  conf.d 
-rw-r--r-- root root 1465 Jan 31 18:35  envvars 
-rw-r==r== root root 31063 Jul 20 2013 magic 


drwxr-xr-x 
drwxr-xr-x 
—rw-r-==r-- 


root root 4096 May 6 13:19  mods-available 
root root 4096 May 6 13:19  mods-enabled 
root root 750 Jan 26 12:13  ports.conf 
drwxr-xr-x root root 4096 May 6 13:19  sites-available 
drwxr-xr-x root root 4096 May 6 13:19  sites-enabled 
rootedebian7:-4 


NN HF. NNHREFENHR 
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8.2. gazde port virtual pe Debian 
8.2.1. gazdă virtuală default 


Debian are un fişier de configurare virtualhost pentru website-ul lui default în 
/etc/apache2/sites-available/default. 


rootedebian7:-t head -2 /etc/apache2/sites-available/default 
<VirtualHost *:80> 
ServerAdmin webmasteralocalhost 


8.2.2. trei gazde virtuale extra 


În acest scenariu creăm trei website-uri în plus pentru trei clienți care împart 
un club şi vor să angajeze. Ei sunt un club numit Choo Choo, un club de şah 
numit Chess Club 42 şi un hackerspace numit hunter2. 


O modalitate de a pune trei website-uri pe un server web, este să punem fiecare 
website pe un port diferit. Captura de ecran arată trei gazde virtuale nou 
create, una pentru fiecare client. 


rootedebian7:-t vi /etc/apache2/sites-available/choochoo 
rootedebian7:-t cat /etc/apache2/sites-available/choochoo 
<VirtualHost *:7000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/choochoo 
</VirtualHost> 
rootedebian7:-t vi /etc/apache2/sites-available/chessclub42 
rootedebian7:-t cat /etc/apache2/sites-available/chessclub42 
<VirtualHost *:8000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/chessclub42 
</VirtualHost> 
rootedebian7:-t vi /etc/apache2/sites-available/hunter2 
rootedebian7:-4 cat /etc/apache2/sites-available/hunter2 
<VirtualHost *:9000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/hunter2 
</VirtualHost> 


Notați numerele de port diferite 7000, 8000, şi 9000. De asemeni observați că am 
specificat un DocumentRoot unic pentru fiecare website. 


Dacă folosiţi Ubuntu sau Mint, atunci aceste fişiere de configurație trebuie să 
se termine în .conf. 


8.2.3. trei porturi extra 

Trebuie să deschidem aceste trei porturi pe apache în fişierul ports.conf. 
Deschideţi acest fişier cu vi şi adăugaţi trei linii pentru a asculta pe trei 
extra porturi. 


rootedebian7:-t vi /etc/apache2/ports.conf 


Verificaţi cu grep dacă directivele Listen (= a asculta în engl. în orig.) au 
fost adăugate corect. 
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rootedebian7:-4 grep AListen /etc/apache2/ports.conf 
Listen 80 

Listen 7000 

Listen 8000 

Listen 9000 


8.2.4. trei website-uri extra 


Apoi trebuie să creăm trei directoare DocumentRoot. 


rootedebian7:=-% mkdir /var/wwm/choochoo 
rootedebian7:=-4 mkdir /var/wwm/chessclub42 
rootâdebian7:-% mkdir /var/www/hunter2 


Şi trebuie să punem nişte site-uri foarte simple în aceste directoare. 


rootâdebian7:-% echo 'Choo Choo model train Choo Choo!' > /var/www/choochoo/indei 
x.html 

rootedebian7:-4 echo 'Welcome to chess club 42! > /var/www/chessclub42/index.hti 
ml 

rootedebian7:-% echo 'HaCkInG iS fUn At HuNtEr2!' > /var/wmw/hunter2/index.html 


8.2.5. deschiderea website-urilor extra 


Ultimul pas este să deschidem website-urile cu comanda a2ensite. Această comandă 
va crea legături în sites-enabled. 


Legăturile nu sînt acolo încă. 


rootedebian7:-t cd /etc/apache2/ 

rootedebian7: /etc/apache24 Is sites-available/ 
chessclub42 choochoo default default-ssl hunter2 
rootedebian7: /etc/apache24 Is sites-enabled/ 
000-default 


Aşa că executăm comanda a2ensite pentru toate website-urile. 


rootedebian7: /etc/apache24 a2ensite choochoo 
Enabling site choochoo. 

To activate the new configuration, you need to run: 
service apache2 reload 

rootedebian7: /etc/apache24 a2ensite chessclub42 
Enabling site chessclub42. 

To activate the new configuration, you need to run: 
service apache2 reload 

rootedebian7: /etc/apache24% a2ensite hunter2 
Enabling site hunter2. 

To activate the new configuration, you need to run: 
service apache2 reload 


Legăturile sînt create, aşa că putem informa apache. 


rootedebian7: /etc/apache24 Is sites-enabled/ 
000-default chessclub42 choochoo hunter2 
rootedebian7: /etc/apache24 service apache2 reload 
Reloading web server config: apache2. 
rootedebian7: /etc/apache24 
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8.2.6. testarea celor trei website-uri 


Testarea clubului model numit Choo Choo pe portul 7000. 


rootedebian7: /etc/apache2% wget 127.0.0.1:7000 
--2014-05-06 21:16:03-- http://127.0.0.1:7000/ 
Connecting to 127.0.0.1:7000... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 32 [text/html] 

Saving to: 'index.html! 


100% [==============22=22222=222222222222>=) ] 32 --.,-K/s in Os 
2014-05-06 21:16:03 (2.92 MB/s) - 'index.html! saved [32/32] 


rootedebian7: /etc/apache24 cat index.html 
Choo Choo model train Choo Choo 


Testarea clubului de şah numit Chess Club 42 pe portul 8000. 


rootedebian7: /etc/apache24 wget 127.0.0.1:8000 
--2014-05-06 21:16:20-- http://127.0.0.1:8000/ 
Connecting to 127.0.0.1:8000... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 25 [text/html] 

Saving to: 'index.html.1! 


100% [==============22=222222222222232222>2)]] 25 --.-K/s in Os 
2014-05-06 21:16:20 (2.16 MB/s) - 'index.html.1! saved [25/25] 


rootedebian7: /etc/apache2% cat index.html.1 
Welcome to chess club 42 


Testarea clubului hackerilor numit hunter2 pe portul 9000. 
rootedebian7: /etc/apache2% wget 127.0.0.1:9000 
--2014-05-06 21:16:30-- http://127.0.0.1:9000/ 

Connecting to 127.0.0.1:9000... connected. 

HTTP request sent, awaiting response... 200 OK 


Length: 26 [text/html] 
Saving to: 'index.html.2! 


100% [=============2222222222222222222222222)] 26 --.-K/s in Os 
2014-05-06 21:16:30 (2.01 MB/s) - 'index.html.2!' saved [26/26] 


rootedebian7: /etc/apache24% cat index.html.2 
HaCkInG iS fUn At HuNtEr2 


Curățăm fişierele temporare. 


rootedebian7: /etc/apache2% rm index.html index.html.1 index.html.2 


încercați să testați de la un alt computer folosind adresa ip a serverului dvs. 
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8.3. gazde virtuale denumite pe Debian 
8.3.1. gazde virtuale denumite 


Clubul de şah şi clubul model găsesc numerele prea greu de reținut. Ar prefera 
să aibă website-urile accesibile prin nume. 


Vom continua să lucrăm pe acelaşi server care are trei site-uri web pe trei 
porturi. Trebuie să ne asigurăm că aceste websiteuri sunt accesibile folosind 
numele choochoo. local, chessclub42. local şi hunter2. local. 


Începem prin a crea trei noi gazde virtuale. 


rootedebian7: /etc/apache2/sites-availablet vi choochoo.local 
rootedebian7: /etc/apache2/sites-availablet vi chessclub42. local 
rootedebian7: /etc/apache2/sites-availablet vi hunter2. local 
rootedebian7: /etc/apache2/sites-availablet cat choochoo. local 
<VirtualHost *:80> 

ServerAdmin webmasteralocalhost 

ServerName choochoo. local 

DocumentRoot /var/www/choochoo 
</VirtualHost> 
rootedebian7: /etc/apache2/sites-availablet cat chessclub42.local 
<VirtualHost *:80> 

ServerAdmin webmasteralocalhost 

ServerName chessclub42. local 

DocumentRoot /var/wmww/chessclub42 
</VirtualHost> 
rootedebian7: /etc/apache2/sites-availablet cat hunter2. local 
<VirtualHost *:80> 

ServerAdmin webmasterelocalhost 

ServerName hunter2. local 

DocumentRoot /var/www/hunter2 
</VirtualHost> 
rootedebian7: /etc/apache2/sites-availablet 


Notați că ele toate ascultă pe portul 80 şi au o directivă extra ServerName. 
8.3.2. rezoluția numelui 
Am avut nevoie de nişte căi pentru a rezolva nume de maşini. Asta poate fi făcut 


cu DNS, despre care este discutat în alt capitol. Pentru această demonstraţie 
este de asemeni posibil să adăugăm repede cele trei nume în fişierul /etc/hosts. 


rootedebian7: /etc/apache2/sites-availablet grep 1192 /etc/hosts 
192.168.42.50 choochoo. local 

192.168.42.50 chessclub42. local 

192.168.42.50 hunter2. local 


Notați că aţi putea avea o altă adresă ip. 
8.3.3. pornire gazde virtuale 


Apoi le pornim cu a2ensite. 
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rootedebian7: /etc/apache2/sites-availablet a2ensite choochoo. local 
Enabling site choochoo.local. 

To activate the new configuration, you need to run: 

service apache2 reload 

rootedebian7: /etc/apache2/sites-availablet a2ensite chessclub42. local 
Enabling site chessclub42.local. 

To activate the new configuration, you need to run: 

service apache2 reload 

rootedebian7: /etc/apache2/sites-availablet a2ensite hunter2. local 
Enabling site hunter2.local. 

To activate the new configuration, you need to run: 

service apache2 reload 


8.3.4. reîncărcaţi şi verificaţi 


După o comandă service apache2 reload website-urile ar trebui să fie disponibile 
după nume. 


rootedebian7: /etc/apache2/sites-availablet service apache2 reload 

Reloading web server config: apache2. 

rootedebian7: /etc/apache2/sites-availablet wget chessclub42. local 

--2014-05-06 21:37:13-- http://chessclub42. local/ 

Resolving chessclub42.local (chessclub42. local)... 192.168.42.50 

Connecting to chessclub42.local (chessclub42. local) |192.168.42.50|:80... conne) 
cted. 

HTTP request sent, awaiting response... 200 OK 

Length: 25 [text/html] 

Saving to: 'index.html! 


100% [============22222522225232222232222322222>)]] 25 --.-K/s in Os 
2014-05-06 21:37:13 (2.06 MB/s) - 'index.html! saved [25/25] 


rootedebian7: /etc/apache2/sites-availablet cat index.htm 
Welcome to chess club 42 


8.4. website protejat cu parolă pe Debian 


Puteți securiza fişiere şi directoare în website-ul dvs. cu fişierul .htaccess 
care face referire la un fişier .htpasswd. Comanda htpasswd poate crea un fişier 
„htpasswd care conține un user id şi o parolă (criptată). 


Această captură de ecran crează un utilizator şi o parolă pentru hacker!-ul 
numit cliff şi foloseşte marcatorul -c pentru a crea fişierul .htpasswd. 


rootedebian7:-4 htpasswd -c /var/wwm/ .htpasswd cliff 
New password: 

Re-type new password: 

Adding password for user cliff 

rootedebian7:-t cat /var/wum/ .htpasswd 
cliff:șaprI$vujLLOKLȘ. /SZ4An9q0swhX93pQ0PVp. 


Hacker-ul rob de asemeni vrea acces, această captură de ecran arată cum să 


adăugăm un al doilea utilizator şi parolă la .htpasswd. 


1 Diferența dintre termenii hacker şi craker este una fundamentală. Hacker-ul este bine 
intenționat, pe cînd cracker-ul nu. 
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rootedebian7:-t htpasswd /var/wuw/ .htpasswd rob 
New password: 

Re-type new password: 

Adding password for user rob 

rootedebian7:-t cat /var/wum/ .htpasswd 
cliff:ȘaprI$vujLLOKLȘ. /SZ4An9q0swhX93pQ0PVp. 
rob: ȘaprI1ȘHNInIFFEȘNRIpFOEH. IW11/1DRq41Q00 


Şi CLiff şi Rob aleg aceeaşi parolă (hunter2), dar asta nu e vizibil în fişierul 
„htpasswd datorită diferitelor modurilor de criptare (salt). 


Apoi va trebui să creăm un fişier .htaccess în DocumentRoot al website-ului pe 
care vrem să-l protejăm. Acest screenshot arată un exemplu. 


rootâdebian7:-4 cd /var/wwm/hunter2/ 
rootadebian7: /var/wwm/hunter2% cat .htaccess 
AuthuserFile /var/www/ .htpasswd 

AuthName "Members only!" 

AuthType Basic 

require valid-user 


Observații că protejăm website-ul pe portul 9000 pe care l-am creat mai devreme. 


Şi pentru că am pus website-ul pentru Hackerspace numit hunter2 într-un 
subdirector a website-ului default, trebuie să ajustăm parametrul Allowoverride 
în /etc/apache2/sites-available/default aşa precum această captură de ecran 
arată (cu liniile număr pe Debian 7, a dvs. poate varia). 


9 <Directory /var/wmm/> 

10 Options Indexes FollowSymLinks MultiViews 
11 AllowOverride Authconfig 

12 Order allow,deny 

13 allow from all 


14 </Directory 

Acum restartați serverul apache2 şi testați dacă funcționează! 

8.5. gazde virtuale port pe Centos 

8.5.1. gazde virtuale default 

Fără să fie la fel cu Debian, Centos nu are un fişier de configurare virtual 
pentru website-ul default. în schimb configurarea default va afişa o pagină de 
eroare standard cînd nici un fişier index nu poate să fie găsit în locația 
default (/var/wum/html) . 

8.5.2. trei gazde virtuale extra 

În acest scenariu creăm încă trei website-uri pentru trei clienți care împart un 
club şi vor să angajeze. Ei sînt un club model numit Choo Choo, un club de şah 
numit Chess Club 42 şi un hakerspace numit hunter2. 

O modalitate de a pune trei website-uri pe un webserver, este să punem fiecare 


website pe un port diferit. Această captură de ecran arată trei gazde virtuale 
nou create, una pentru fiecare client. 
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[rooteCentOs65 -]4 vi /etc/httpd/conf.d/choochoo.conf 
[rooteCentOs65 -]+ cat /etc/httpd/conf.d/choochoo.conf 
<VirtualHost *:7000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/html/choochoo 
</VirtualHost> 
[rooteCentOs65 -]+ vi /etc/httpd/conf.d/chessclub42.conf 
[rooteCentOs65 -]+ cat /etc/httpd/conf.d/chessclub42.conf 
<VirtualHost *:8000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/html/chessclub42 
</VirtualHost> 
[rooteCentOSs65 -]4+ vi /etc/httpd/conf.d/hunter2.conf 
[rooteCentOs65 -]4 cat /etc/httpd/conf.d/hunter2.conf 
<VirtualHost *:9000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/html/hunter2 
</VirtualHost> 


Observații numerele de port diferite 7000, 8000 şi 9000. Observaţi de asemeni că 
am specificat un DocumentRoot unic pentru fiecare website. 


8.5.3. trei porturi extra 


Avem nevoie să deschidem aceste trei porturi pe apache în fişierul httpd.conf. 


[rooteCentOs65 -]+ vi /etc/httpd/conf/httpd.conf 
rootedebian7:-t grep AListen /etc/httpd/conf/httpd.conf 
Listen 80 

Listen 7000 

Listen 8000 

Listen 9000 


8.5.4 SELinux păzeşte porturile 


Dacă încercăm să restartăm serverul nostru, vom observa următoarea eroare: 


[rooteCentOSs65 -]+ service httpd restart 
Stopping httpd: [ OK ] 
Starting httpd: 
(13)Permission denied: make_sock: could not bind to address 0.0.0.0:7000 
no listening sockets available, shutting down 
[FAILED] 


Asta este pentru că SELinux rezervă porturile 7000 şi 8000 pentru alți 
ulilizatori. Avem nevoie să comunicăm SELinux că vrem să utilizăm aceste porturi 
pentru trafic http. 


[rooteCentOS65 -]4 semanage port -m -t http_port_t -p tcp 7000 
[rooteCentOS65 -]4 semanage port -m -t http_port_t -p tcp 8000 
[rooteCentOSs65 -]+ service httpd restart 

Stopping httpd: [ OK |] 

Starting httpd: [ OK |] 


8.5.5. trei website-uri extra 


Apoi trebuie să creăm trei directoare DocumentRoot. 
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[rooteCentOs65 -]4 mkdir /var/wwm/html/choochoo 
[rootaCentOs65 -]t mkdir /var/www/html/chessclub42 
[rootaCentOs65 =] mkdir /var/www/html/hunter2 


Şi trebuie să punem nişte website-uri foarte simple în aceste directoare. 


[rootaCentOs65 -]t echo 'Choo Choo model train Choo Choo' > /var/wmw/html/chooci 
hoo/index.html 

[rootaCentOs65 -]t echo 'Welcome to chess club 42' > /var/wwm/html/chessclub42/1 
index .html 

[rootaCentOs65 -]t echo 'HaCkInG iS fun At HuNtEr2' > /var/wmw/html/hunter2/indi 
ex.html 


8.5.6. deschiderea website-urilor extra 


Singura modalitate de a deschide sau închide configurări în RHEL/CentosS este să 
redenumim sau să mutăm fişierele de configurație. Orice fişier din 
/etc/httpd/conf.d care se termină cu .conf va fi încărcat de către apache. 
Pentru a închide un website putem fie să redenuminm fişierul fie să îl mutăn în 
alt director. 


Fişierele sînt create, aşa că putem să informăm apache de acest lucru. 


[rooteCentOSs65 -]4 Is /etc/httpd/conf.d/ 

chessclub42.conf choochoo.conf hunter2.conf README welcome.conf 
[rooteCentOs65 -]t service httpd reload 

Reloading httpd: 


8.5.7. testarea celor trei website-uri 


Testarea clubului model numit Choo Choo pe portul 7000. 


[rooteCentOs65 -]t wget 127.0.0.1:7000 
--2014-05-11 11:59:36-- http://127.0.0.1:7000/ 
Connecting to 127.0.0.1:7000... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 32 [text/html] 

Saving to: 'index.html!' 


100% [=============2222533225333222333222232222>2)]] 32 --.-K/s in Os 
2014-05-11 11:59:36 (4.47 MB/s) - 'îndex.html! saved [32/32] 


[rooteCentOs65 -]+ cat index.html 
Choo Choo model train Choo Choo 


Testarea clubului de şah numit Chess Club 42 pe portul 8000. 
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[rooteCentOSs65 -]+ wget 127.0.0.1:8000 
--2014-05-11 12:01:30-- http://127.0.0.1:8000/ 
Connecting to 127.0.0.1:8000... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 25 [text/html] 

Saving to: 'index.html.1! 


100% [=============22225323222233222233222232222>2)]] 25 --.-K/s in Os 
2014-05-11 12:01:30 (4.25 MB/s) - 'îndex.html.1!' saved [25/25] 


rootedebian7: /etc/apache24% cat index.html.1 
Welcome to chess club 42 


Testarea clubului hacker-ilor numit hunter2 pe portul 9000. 


[rooteCentOSs65 -]+ wget 127.0.0.1:9000 
--2014-05-11 12:02:37-- http://127.0.0.1:9000/ 
Connecting to 127.0.0.1:9000... connected. 
HTTP request sent, awaiting response... 200 OK 
Length: 26 [text/html] 

Saving to: 'index.html.2! 


100% [=============22225323222233222332222222222>2)]] 26 --.-K/s in Os 
2014-05-11 12:02:37 (4.49 MB/s) - 'index.html.2! saved [26/26] 


rootedebian7: /etc/apache24 cat index.html.2 
HaCkInG îiS fun At HuNtEr2 


Curățăm fişierele temporare. 

[rooteCentOs65 =] rm index.html index.html.1 index.html.2 

8.5.8. reguli firewall 

Dacă încercăm să accesăm site-ul de la o altă maşină oricum, nu vom fi capabili 


să vedem situl încă. Firewall-ul blochează conexiunile. Avem nevoie să deschidem 
aceste porturi mai întîi. 


[rooteCentOs65 -]t iptables -I -p tcp -dport 80 -j ACCEPT 

[rooteCentOSs65 -]4 iptables -I -p tcp -dport 7000 -j ACCEPT 
[rooteCentOS65 -]4 iptables -I -p tcp -dport 8000 -j ACCEPT 
[rooteCentOs65 -]t iptables -I -p tcp -dport 9000 -j ACCEPT 


Şi dacă vrem ca aceste reguli să rămînă active după un reboot, trebuie să le 
salvăm. 


[rooteCentOSs65 -]+ service iptables save 
iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ] 


8.6. gazde virtuale denumite pe Centos 
8.6.1. gazde virtuale denumite 


Clubul de şah şi clubul model găsesc numerele de port prea greu de ținut minte. 
Ar dori să aibă webste-urile lor accesibile prin nume. 
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Continuăm munca pe acelaşi server care are trei website-uri pe trei porturi. 
Trebuie să ne asigurăm că aceste trei website-uri sînt accesibile folosind 
numele choochoo. local, chessclub42. local şi hunter2. local. 


Mai întîi, trebuie să pornim gazdele virtuale denumite în configurație. 


[rooteCentOs65 -]+ vi /etc/httpd/conf/httpd.conf 

[rooteCentOS65 -]4 grep ANameVvirtualHost /etc/httpd/conf/httpd.conf 
NameVirtualHost *:80 

[rooteCentOs65 -]4 


Apoi trebuie să creăm trei noi gazde virtuale. 


[rooteCentOSs65 -]4 vi /etc/httpd/conf.d/choochoo. local.conf 
[rooteCentOs65 -]+ vi /etc/httpd/conf.d/chessclub42. local.conf 
[rooteCentOs65 -]4+ vi /etc/httpd/conf.d/hunter2. local.conf 
[rooteCentOs65 -]+ cat /etc/httpd/conf.d/choochoo. local.conf 
<VirtualHost *:80> 

ServerAdmin webmasteralocalhost 

ServerName choochoo. local 

DocumentRoot /var/www/html/choochoo 
</VirtualHost> 
[rooteCentOs65 -]+ cat /etc/httpd/conf.d/chessclub42. local.conf 
<VirtualHost *:80> 

ServerAdmin webmasteralocalhost 

ServerName chessclub42. local 

DocumentRoot /var/www/html/chessclub42 
</VirtualHost> 
[rooteCentOs65 -]+ cat /etc/httpd/conf.d/hunter2. local.conf 
<VirtualHost *:80> 

ServerAdmin webmasteralocalhost 

ServerName hunter2. local 

DocumentRoot /var/www/html/hunter2 
</VirtualHost> 
[rootaCentos65 -]+ 


Observați că ele toate ascultă pe portul 80 şi au o directivă ServerName extra. 
8.6.2. rezoluția numelui 
Avem nevoie de o modalitate de a rezolva nume. Asta poate fi făcut cu DNS, care 


este discutat în alt capitol. Pentru această demonstraţie este de asemeni 
posibil să adăugăm repede cele trei nume în fişierul /etc/hosts. 


[rooteCentOs65 -]+ grep 1192 /etc/hosts 
192.168.1.225 choochoo. local 
192.168.1.225 chessclub42. local 
192.168.1.225 hunter2. local 


Observații că aţi putea avea o altă adresă ip. 
8.6.3. reîncărcaţi şi verificaţi 


După o comandă service httpd reload website-urile ar trebui să fie disponibile 
după nume. 
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[rooteCentOSs65 -]4 service httpd reload 

Reloading httpd: 

[rooteCentOSs65 -]4 wget chessclub42.local 

--2014-05-25 16:59:14-- http://chessclub42. local/ 

Resolving chessclub42.local... 192.168.1.225 

Connecting to chessclub42.1local|192.168.1.225|:80... connected. 
HTTP request sent, awaiting response... 200 OK 

Length: 25 [text/html] 

Saving to: index.html 


100% [============22222523223332222332222322223>3)]] 25 --.-K/s in Os 
2014-05-25 16:59:15 (1014 KB/s) - 'index.html!' saved [25/25] 


[rooteCentOs65 -]+ cat index.html 
Welcome to chess club 42 


8.7. website protejat cu parolă pe Centos 


Puteți securiza fişiere şi directoare în website cu fişierul .htaccess care 
trimite la fişierul .htpasswd. Comanda htpasswd poate crea un fişier .htpasswd 
care conține un userid şi o parolă (criptată). 


Această captură de ecran crează un utilizator şi o parolă pentru hacker-ul numit 
cliff şi foloseşte marcatorul -c pentru a crea fişierul .htpasswd. 


[rooteCentOs65 -]+ htpasswd -c /var/www/ .htpasswd cliff 
New password: 

Re-type new password: 

Adding password for user cliff 

[rooteCentOs65 -]+ cat /var/wwm/ .htpasswd 
cliff:QnwTrymMLBctU 


Hacker-ul rob de asemeni vrea acces, această captură de ecran arată cum să 
adăugăm un al doilea utilizator şi parolă la .htpasswd. 


[rooteCentOSs65 -]+ htpasswd /var/wwm/ .htpasswd rob 
New password: 

Re-type new password: 

Adding password for user rob 

[rooteCentOs65 -]4 cat /var/wwm/ .htpasswd 
cliff:ONwTrymMLBctU 

rob: EC2vOCcrMXDoM 

[rooteCentos65 -]+ 


Şi CLiff şi Rob au ales aceeaşi parolă (hunter2), dar asta nu e vizibil în 
fişierul .htpasswd din cauza diferitelor modalități de criptare. 


Apoi avem nevoie să creăm un fişier .htaccess în DocumentRoot al websit-ului pe 
care vrem să-l protejăm. Acest screenshot arată un exemplu. 


[rooteCentOs65 -]t cat /var/wwm/html/hunter2/.htaccess 
AuthuserFile /var/www/ .htpasswd 

AuthName "Members only!" 

AuthType Basic 

require valid-user 


Observați că protejăm website-ul pe portul 9000 pe care l-am creat mai devreme. 
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Şi pentru că punem website-ul pentru hackerspace numit hunter2 într-un 
subdirector a websit-ului default, trebuie să ajustăm parametrul Allowoverride 
în /etc/httpd/conf/httpd.conf sub directiva directorului <Directory 
“/Vvar/wwm/html”> aşa precum arată această captură de ecran. 


[rooteCentOs65 -]+ vi /etc/httpd/conf/httpd.conf 


<Directory "/var/wum/htmL"> 


ii 
+ Possible values for the Options directive are "None", "ALL", 
+ or any combination of: 
+ Indexes Includes FollowSymLinks SymLinksifOwnerMatch ExecCGI MultiViews 
ii 
+ Note that "MultiViews" must be named xexplicitlyx --- "Options ALL" 
i doesn't give it to you. 
iii 
+ The Options directive is both complicated and important. Please see 
4 http://httpd.apache.org/docs/2.2/mod/core.htmltoptions 
+ for more information. 
ii 
Options Indexes FollowSymLinks 
ii 
+ AllowOverride controls what directives may be placed in .htaccess files. 
4 It can be "ALL", "None", or any combination of the keywords: 
ii Options FileInfo AuthConfig Limit 
ii 
AllowOverride Authconfig 
iii 
 Controls who can get stuff from this server. 
iii 


Order allow,deny 
Allow from all 


</Directory> 
Acum restartați serverul apache2 şi testați dacă funcționează! 
8.8. depanare apache 


Cînd apache se restartează, va verifica sintaxa fişierelor în directorul de 
configurare /etc/apache2 pe Debian sau /etc/httpd pe Centos şi vă va informa 
numele fişierului greşit, numărul liniei şi explicarea erorii. 


rootedebian7:-4 service apache2 restart 
apache2: Syntax error on line 268 of /etc/apache2/apache2.conf: Syntax error o, 
n line 1 of /etc/apache2/sites-enabled/chessclub42: /etc/apache2/sites-enabledi 
/chessclub42:4: <VirtualHost> was not closed.In/etc/apache2/sites-enabled/ches) 
sclub42:1: <VirtualHost> was not closed. 
Action 'configtest! failed. 
The Apache error log may have more information. 

failed! 


Mai sus vedeți problema... un / care lipseşte înaintea liniei 4. 
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rootedebian7:-t cat /etc/apache2/sites-available/chessclub42 
<VirtualHost *:8000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/chessclub42 

<VirtualHost> 


să forțăm o altă eroare redenumind directorul unuia dintre websit-urile noastre. 


rootâdebian7:-% mv /var/wwm/choochoo/ /var/wwm/chooshoo 
rootâdebian7:-4 !ser 
service apache2 restart 
Restarting web server: apache2Warning: DocumentRoot [/var/www/choochoo] does ni 
ot exist 
Warning: DocumentRoot [/var/www/choochoo] does not exist 
+. waiting Warning: DocumentRoot [/var/wmww/choochoo] does not exist 
Warning: DocumentRoot [/var/www/choochoo] does not exist 


Precum puteţi vedea, apache vă va spune exact ceea ce nu e în regulă. 
De asemeni puteţi depana conectînd website-ul printr-un webbrowser şi apoi 
verificînd fişierele log apache în /var/log/apache. 


8.9. exemplu gazde virtuale 


Mai jos este un exemplu a unei configurații gazde virtuale. Acestă gazdă 
virtuală suprascrie directiva apache ErrorDocument . 


<VirtualHost 83.217.76.245:80> 

ServerName cobbaut.be 

ServerAlias www. cobbaut.be 

DocumentRoot /home/paul/public_html 

ErrorLog /home/paul/logs/error_log 

CustomLog /home/paul/logs/access_log common 
ScriptAlias /cgi-bin/ /home/paul/cgi-bin/ 
<Directory /home/paul/public_html> 

Options Indexes IncludesNOEXEC FollowSymLinks 
allow from all 

</Directory> 

ErrorDocument 404 http: //www. cobbaut.be/cobbaut.php 
</VirtualHost> 


8.10. aliasuri şi redirectări 

Apache suportă aliasuri pentru directoare, aşa cum arată acest exemplu. 

alias /paul/ "/home/paul/public_html/" 

în mod similar, conținutul poate fi redirectat la alt website sau server web. 
redirect permanent /foo http: //uwwm. foo.com/bar 

8.11. mai mult despre .htaccess 

Puteți face mult mai mult cu .htaccess. Un exemplu este să folosiți .htaccess să 


prevină oameni din anumite domenii să aibă aces la site-ul dvs. Ca în acest caz, 
unde un număr de refereri spammer sînt blocaţi de la website. 
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paulelounge:-/cobbaut.beș cat .htaccess 

4 Options +FollowSymlinks 

RewriteEngine On 

RewriteCond %(HTTP_REFERER)Y Ahttp://(wumwi.. ) ?buy-adipex.fw.nu.x*$ [OR] 
RewriteCond %(HTTP_REFERER)Y Ahttp://(wwmi. ) ?buy-levitra.asso.ws.x$ [NC,OR] 
RewriteCond %(HTTP_REFERER)Y Ahttp://(wwmi.. ) ?buy-tramadol. fw.nu.x$ [NC,OR] 
RewriteCond %(HTTP_REFERER) Ahttp:// (www. ) ?buy-viagra. lookin.at.*x$ [NC,OR] 


RewriteCond %(HTTP_REFERER) Ahttp:// (www. ) ?www.healthinsurancehelp.net.x*$ [NC] 
RewriteRule .x - [F,L] 
paulelounge: -/cobbaut.beș 


8.12. trafic 


Apache păstrează un jurnal al tuturor vizitatorilor. webalizer-ul este deseori 
folosit să analizeze acest jurnal în statistici frumoase html. 


8.13. certificat auto-semnat pe Debian 


Mai jos este un ghid foarte scurt despre setarea Apache2 pe Debian 7 cu un 
certificat auto-semnat. 


Există şanse ca aceste pachete să fie deja instalate. 


rootâdebian7:-t aptitude install apache2 openssl 

No packages will be installed, upgraded, or removed. 

O packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. 
Need to get 0 B of archives. After unpacking 0 B will be used. 


Creați unui director pentru a stoca certificate, şi folosiţi openssl pentru a 
crea un certificat auto-semnat care este valid pentru 999 zile. 


rootâdebian7:-4 mkdir /etc/ssl/localcerts 

rootedebian7:-4 openssl req -new -x509 -days 999 -nodes -out /etc/ssl/locali 
certs/apache.pem -keyout /etc/ss1/localcerts/apache.key 

Generating a 2048 bit RSA private key 


writing new private key to '/etc/ssl/localcerts/apache.key! 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter !.!', the field will be left blank. 

Country Name (2 letter code) [AUJ:BE 

State or Province Name (full name) [Some-State]:Antwerp 

Locality Name (eg, city) []:Antwerp 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:linux-training.be 
Organizational Unit Name (eg, section) [|]: 

Common Name (e.g. server FQDN or YOUR name) []|:Paul 

Email Address [|]: 


Puțină securitate nu dăunează nimănui. 
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rootâdebian7:-4 1s -l /etc/ssl/localcerts/ 

total 8 

-rw-r--r-- 1 root root 1704 Sep 16 18:24 apache.key 
-rw-r--r-- 1 root root 1302 Sep 16 18:24 apache.pem 
rootâdebian7:=-4 chmod 600 /etc/ssl/localcerts/x 
rootâdebianr:-4 1s -l /etc/ssl/localcerts/ 


total 8 
= rw ===> 1 root root 1704 Sep 16 18:24 apache.key 
—FwW====s=e 1 root root 1302 Sep 16 18:24 apache.pem 


Deschideţi apache ssl mod. 


rootedebian7:-t a2enmod ssl 

Enabling module ssl. 

See /usr/share/doc/apache2.2-common/README.Debian.gz on how to configure SSL, 
and create self-signed certificates. 

To activate the new configuration, you need to run: 

service apache2 restart 


Creați configurația website-ului. 


rootedebian7:-4 vi /etc/apache2/sites-available/choochoos 
rootedebian7:-t cat /etc/apache2/sites-available/choochoos 
<VirtualHost *:7000> 

ServerAdmin webmasteralocalhost 

DocumentRoot /var/www/choochoos 

SSLEngine On 

SSLCertificateFile /etc/ssl/localcerts/apache. pem 

SSLCertificatekeyFile /etc/ssl/localcerts/apache. key 
</VirtualHost> 
rootadebian7: = 


Şi creați website-ul în sine. 


rootadebian7: /var/wwm/choochoost vi index.html 
rootadebian7: /var/wmm/choochoost cat index.html 
Choo Choo HTTPS secured model train Choo Choo 


Deschideţi website-ul şi restartați (sau reîncărcați) apache2. 


rootadebian7: /var/wmm/choochoos+ a2ensite choochoos 
Enabling site choochoos. 

To activate the new configuration, you need to run: 
service apache2 reload 

rootedebian7: /var/wmm/choochoost service apache2 restart 
Restarting web server: apache2 ... waiting . 


Există şanse ca browserul să vă avertizeze despre certificatul auto-semnat. 
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La] 


Untrusted Connection - lceweasel +..D0X 
le Edit View History Bookmarks Tools Help 


192.168.1.112:7000 v G||i iv DuckDuckGo a 489 +A = 


| 4. Untrusted Connection x | cl | 


A 


| This Connection is Untrusted 


You have asked lceweasel to connect securely to 192.168.1.112:7000, but we can't confirm 
that your connection is secure. 


Normally, when you try to connect securely, sites will present trusted identification to prove 
that you are going to the right place. However, this site's identity can't be verified. 


What Should | Do? 


If you usually connect to this site without problems, this error could mean that someone is 
trying to impersonate the site, and you shouldn't continue. 


Get me out of here! 


Technical Details 
192.168.1.112:7000 uses an invalid security certificate. 


The certificate is not trusted because it is self-signed. 
The certificate is only valid for Paul 


(Error code: sec_error_unknown_issuer) 


*» 1 Understand the Risks 


8.14. certificat auto-semnat pe RHEL/Centos 


Mai jos este o cale rapidă de a crea un certificat auto-semnat pentru https pe 
RHEL/CentOS. Aţi putea avea nevoie de aceste pachete: 


[rootepaulserver =] yum install httpd openssl mod_ssl 

Loaded plugins: fastestmirror 

Loading mirror speeds from cached hostfile 

x base: ftp.belnet.be 

x extras: ftp.belnet.be 

x updates: mirrors.vooservers.com 

base | 3.7 kB 00:00 

Setting up Install Process 

Package httpd-2.2.15-31.e16.centos.x86_64 already installed and latest version 
Package openssl-1.0.1e-16.e16_5.15.x86_64 already installed and latest version 
Package 1:mod_ssl-2.2.15-31.e16.centos.x86_64 already ins... and latest version 
Nothing to do 


Folosim openssl pentru a crea certificatul. 
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[rootepaulserver =]% mkdir certs 

[rootepaulserver =] cd certs 

[rootepaulserver certs]it openssl genrsa -out ca.key 2048 
Generating RSA private key, 2048 bit long modulus 


e is 65537 (0x10001) 

[rootepaulserver certs]t openssl req -new -key ca.key -out ca.csr 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter !.!', the field will be left blank. 

Country Name (2 letter code) [XX]:BE 

State or Province Name (full name) [J:antwerp 

Locality Name (eg, city) [Default City]J:antwerp 

Organization Name (eg, company) [Default Company Ltdl]:antwerp 
Organizational Unit Name (eg, section) [|]: 

Common Name (eg, your name or your server!'s hostname) [|:paulserver 
Email Address [|]: 


Please enter the following 'extra' attributes 

to be sent with your certificate request 

A challenge password [|]: 

An optional company name [|]: 

[rootepaulserver certs]t openssl x509 -req -days 365 -in ca.csr -signkey ca.kei 
y -out ca.crt 

Signature ok 

subject=/C=BE/ST=antwerp/L=antwerp/O=antwerp/CN=paulserver 

Getting Private key 


Copiem cheile în locația potrivită (Aţi putea pierde informații SELinux aici). 


[rootepaulserver certs]t cp ca.crt /etc/pki/tls/certs/ 
[rootepaulserver certs]t cp ca.key ca.csr /etc/pki/tls/private/ 


Adăugăm locaţia la cheile noastre în acest fişier, şi de asemeni adăugăm 
directiva NamevirtualHost *:443. 


[rootepaulserver certs]t vi /etc/httpd/conf.d/ssl.conf 
[rootepaulserver certs]t grep ASSLCerti /etc/httpd/conf.d/ssl.conf 
SSLCertificateFile /etc/pki/tls/certs/ca.crt 

SSLCertificatekeyFile /etc/pki/tls/private/ca.key 


Creați o configurație website. 
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[rootepaulserver certs]t vi /etc/httpd/conf.d/choochoos.conf 
[rootepaulserver certs]t cat /etc/httpd/conf.d/choochoos.conf 
<VirtualHost *:443> 
SSLEngine on 
SSLCertificateFile /etc/pki/tls/certs/ca.crt 
SSLCertificatekeyFile /etc/pki/tls/private/ca.key 
DocumentRoot /var/wmww/choochoos 
ServerName paulserver 
</VirtualHost> 
[rootepaulserver certs]t 


Creați un website simplu şi restartați apache. 


[rootepaulserver certs]t mkdir /var/wwm/choochoos 

[rootepaulserver certs]t echo HTTPS model train choochoos > /var/www/choochoos/1 
index .html 

[rootepaulserver httpd]t service httpd restart 

Stopping httpd: [ OK |] 

Starting httpd: [ OK |] 


Şi browserul dvs. vă va avertiza probalil că acest certificat este auto-semnat. 
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L_4 Untrusted Connection - lceweasel +. 1% 


File Edit View History Bookmarks Tools Help 
& https://192.168.1.101 ” G||i i” DuckDuckGo a 48 YAOD- = 


A 


| A. Untrusted Connection x | d | 


This Connection is Untrusted 


You have asked lceweasel to connect securely to 192.168.1.101, but we can't confirm that 
your connection is secure. 


Normally, when you try to connect securely, sites will present trusted identification to prove 
that you are going to the right place. However, this site's identity can't be verified. 


What Should | Do? 


If you usually connect to this site without problems, this error could mean that someone is 
trying to impersonate the site, and you shouldn't continue. 


Get me out of here! 


” Technical Details 
192.168.1.101 uses an invalid security certificate. 


The certificate is not trusted because it is self-signed. 
The certificate is only valid for paulserver 


(Error code: sec_error_unknown_issuer) 


» 1 Understand the Risks 
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8.15. practică: apache 
1. Verificaţi dacă apache este instalat şi se execută. 
2. Navigați la manualul apache HTML. 


3. Creați trei nume de maşini virtuale care ascultă pe portul 8472, 31337 şi 
1201. Testaţți dacă toate funcționează. 


4. Creați trei nume de maşini virtuale startrek.local, starwars. local şi 
stargate. local. Testaţi dacă toate funcționează. 


5. Creați o gazdă virtuală care ascultă pe o altă adresă ip. 


6. Protejați unul din website-uri cu o combinație utilizator/parolă. 
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Capitolul 9. introducere la squid 
9.1. despre servere proxy 
9.1.1. folosire 


Un server proxy este un server care stochează internet. Clienţii se conectează 
la serverul proxy cu o cerere pentru un server internet. Serverul proxy se va 
conecta la serverul internet în numele clientului. Serverul proxy de asemeni va 
stoca paginile regăsite din serverul internet. Un server proxy poate să dea 
pagini din rezerva lui unui client, în loc să se conecteze la un server internet 
pentru a regăsi (aceleaşi) pagini. 


Un server proxy are două avantaje principale. îmbunătăţeşte viteza navigării pe 
web cînd returnează date rezervate către clienți, şi reduce lățimea de bandă 
cerută (costul) la internet. 


Organizațiile mai mici pun uneori serverul proxy pe acelaşi computer fizic care 
este folosit ca NAT la internet. În organizațiile mari, serverul proxy este unul 
din multe servere în DMZ. 


Cînd traficul web trece printr-un server proxy, se obişnuieşte să se configureze 
proxy-ul cu setări extra pentru controlul accesului. Controlul accesului într-un 
server proxy poate însemna accesul contului utilizator, dar şi website (url), 
adresă ip sau restricții dns. 


9.1.2. servere proxy deschise 


Puteți găsi liste cu servere proxy deschise pe internet care vă permit să 
navigați anonim. Asta funcționează cînd serverul proxy se conectează din partea 
dumneavoastră la un website, fără a jurnaliza adresa ip. Dar fiţi atenţi, aceste 
proxy servere (listate) ar putea fi create pentru a spiona utilizatorii lor. 


9.1.3. squid 


Acest capitol este o introducere la serverul proxy squid (http://www. squid- 
cache.org). Mai întîi vom configura squid ca un proxy server normal. 


9.2. instalare squid 


Acestă captură arată cum să instalăm squid pe Debian cu aptitude. Folosiţi yum 
dacă sînteţți pe Red Hat/Centos. 


rootedebianr:-t aptitude install squid 

The following NEW packages will be installed: 

squid squid-commonța) squid-langpack(a) 

0 packages upgraded, 3 newly installed, 0 to remove and 0 not upgraded. 
Need to get 1,513 kB of archives. After unpacking 4,540 kB will be used. 
Do you want to continue? [Y/n/?] 

„.„output truncated... 

Setting up squid-langpack (20120616-1) 

Setting up squid-common (2.7.STABLE9-4.1) 

Setting up squid (2.7.STABLE9-4.1) 

Creating squid spool directory structure 

2014/08/01 15:19:31| Creating Swap Directories 

Restarting Squid HTTP proxy: squid. 


Fişierul principal de configurare a squid este /etc/squid/squid.conf. Fişierul 
explică fiecare parametru în mod detaliat. 
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rootedebian7:-t wc -l /etc/squid/squid.conf 
4948 /etc/squid/squid.conf 


9.3. port 3128 


Prin default serverul proxy squid va asculta pe portul 3128. 


rootedebian7:-4 grep Ahttp_port /etc/squid/squid.conf 
http_port 3128 
rootedebian7:-+ 


9.4. start şi stop 


Puteți aranja squid cu comanda standard service cum este arătat în acest 
screenshot. 


rootedebian7:-t service squid start 
Starting Squid HTTP proxy: squid. 
rootedebian7:-4 service squid restart 
Restarting Squid HTTP proxy: squid. 
rootedebian7:-4 service squid status 
squid is running. 

rootedebian7:-t service squid stop 
Stopping Squid HTTP proxy: squid. 
rootedebian7:-+ 


9.5. setări client proxy 


Pentru a da start unui server proxy în Firefox sau Iceweasel intrați pe Edit 
Preferences şi configurați aşa cum este arătat în această captură de ecran 
(înlocuiți 192.168.1.60 cu adresa ip a serverului dvs. proxy). 
4 Connection Settings *«D0X 

Configure Proxies to Access the internet 

No proxy 

Auto-detect proxy settings for this network 

Use system proxy settings 

* Manual proxy configuration: 


HTTP Proxy: | 192.168.1.60 Port: 3128 „ 


VA (5 SOCKS v5 Remote DNS 
No Proxy for: 
localhost, 127.0.0.1 


Example: .mozilla.org, .net.nz, 192.168.1.0/24 
Automatic proxy configuration URL: 


Do not prompt for authentication if password is saved 


lg] Help [x] Cancel <2OK 
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Testaţi dacă internetul dvs. funcționează cu proxy-ul deschis. De asemeni 
testați dacă după comanda service squid stop pe serverul proxy că primiţi un 
mesaj similar cu această captură de ecran. 


4 Problem loading page - lceweasel ari e În] > 


File Edit View History Bookmarks Tools Help 
v G||i i» DuckDuckGo a] 48 + A (Do = 


linux-training.be 


A. Problem loading page | ca | 


N The proxy server is refusing connections 


lceweasel is configured to use a proxy server that's refusing 
connections. 


=. Check the proxy settings to make sure that they are correct. 


= Contact your network administrator to make sure the proxy server is 
working. 


Try Again 


Pentru a porni un server proxy cu Google Chrome (sau Debian Chromium) începeți 
programul de pe linia de comandă astfel: 


pauledebian7:=$ chromium --proxy-server=1192.168.1.60:3128! 


închiderea proxy-ului cu service squid stop ar trebui să rezulte cu un mesaj de 
eroare similară cu această captură de ecran. 
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(& http://linux-training.b x VW) 
e C fi | linux-training.be 


::: Apps (9 Debian.org (9 LatestNews (9 Help (1 New folder 


[ 


Unable to connect to the proxy server 


9.6. imagini întoarse 


Un server proxy stă între browser-ul web şi internet. Astfel că în afară de a 
depozita date internet (funcția originală a unui server proxy) şi în afară de 
restricțiile firewall bazate pe conținut www, un server proxy este poziția 
perfectă de a altera paginile web pe care le vizitaţi. 


Ați putea de exemplu schimba reclamele de la o pagină web (sau să ştergeţi 
anumite reclame), sau cum facem în acest exemplu; să schimbăm toate imaginile 
astfel ca ele să se afişeze întoarse. 


Serverul are nevoie de unelte de linie de comandă pentru a manipula imagini şi 
un script perl care foloseşte aceste unelte (şi wget pentru a downloada 
imaginile local şi să le folosească cu apache2). În acest exemplu folosim 
imagemagick (care dă unelte precum convert şi mogrify). 


rootedebian7:-t aptitude install imagemagick wget perl apache2 
„..„output truncated... 

rootâdebian7:-% dpkg -S $(readlink -f $(which mogrify)) 
imagemagick: /usr/bin/mogrify.im6 

rootedebian7:-t 


Scriptul perl care este arătat în captura de ecran de mai jos poate fi găsit pe 
cîteva website-uri, totuşi eu nu am găsit autorul lor. Oricum este un script 
foarte simplu care foloseşte wget şi mogrify pentru a downloada imagini 

(.jpg .gif şi .png), le întoarce, şi le stochează în /var/wwm/images. 
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rootedebian7:-t cat /usr/local/bin/flip.pl 
4! /usr/bin/perl 


$|=1; 

Șcount = 0; 

Șpid = $Ș; 

while (<>) 4 

chomp $_; 

if (5 (aa DB) PA 

Șurl = $1; 

system("/usr/bin/wget", "-q", "-0","/var/wwu/'images/$pid-Șcount.jpg", "Şurl"); 
system("/usr/bin/mogrify", "-flip","/var/wwm/images/$pid-șcount.jpg") ; 

print "http://127.0.0.1/images/$pid-$count.jpgin"; 

) 

elsif (Ș_ == /(uxi.gif)/i) 1 

Șurl = ŞI; 

system("/usr/bin/wget", "-q", "-0","/var/wwm/'images/S$pid-$count.gif", "$url"); 
system("/usr/bin/mogrify", "-flip","/var/wwm/images/S$pid-$count.gif"); 

print "http://127.0.0.1/images/$pid-$count.gifin"; 

) 

elsif ($_ == /(.*l.png)/i) £ 

Șurl = $1; 


system("/usr/bin/wget", "-q", "-0","/var/wwm/'images/$pid-Șcount.png", "$url"); 
system("/usr/bin/mogrify", "-flip","/var/wum/images/$pid-$Șcount.pngs") ; 

print "http://127.0.0.1/images/$pid-$count.pngin"; 

) 

else î 

print "$_In";; 

) 

$count++; 


i, 


Schimbați (sau deschideţi) de asemeni următoarea linie în /etc/squid/squid.conf. 


http_access allow localnet 
http_port 3128 transparent 
url_rwwrite_program /usr/local/bin/flip.pl 


Directorul pe care acest script îl foloseşte este /var/wwm/images şi ar trebui 
să fie accesibil şi de squid server (care foloseşte utilizatorul numit proxy) şi 
de webserver-ul apache2 (care foloseşte utilizatorul wwuw-data). Captura de ecran 
de mai jos arată cum să creăm acest director, să setăm permisiunile şi să facem 
utilizatorii un membru a altor grupuri. 


rootedebian7:-% mkdir /var/wuw/images 

rootedebian7:-t chown www-data:www-data /var/www/ "images 
rootedebian7:-t chmod 755 /var/wwm/images 
rootedebian7:-t usermod -aG www-data proxy 
rootedebian7:-t usermod -aG proxy wwm-data 


Testaţi dacă funcţionează după ce restartați squid şi apache2. 
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xkcd: Sandwich - lceweasel 


File Edit View History Bookmarks Tools Help 
€ > | (9 xkcd.com/149/ * G||i> DuckDuckGo (d, Ex dl: E) D- = 
| xkcd: Sandwich 


ARCHIVE 
A WEBCOMIC OF ROMANCE, 
WHAT IF? 
BEctnzE: 


SARCASM, MATH, AND LANGUAGE. 
BLAG 


COUEN ME HiWC Ok HIT IHEICELIVEZ: 
STORE Ok pa ae artă FIHOTE. IAJUCE 12 ONE FI 
ABOUT Ii COME ON W 200K 1908; Crick HEZE to VW (I2L Ok 21062" 


SANDWICH 


< PREV RANDOM NEXT > 


AR: 


OKYA 
Y 2vuDMICH' 
2ND0 WVKE WE N 


IL NONI2ErE 
MHULS WVKE 


INIKE WE V 2VADMICH' 


< PREV RANDOM NEXT > 


9.7. /var/log/squid 
Locația standard a fişierului jurnal pentru squid este /var/log/squid. 


[rootQRHEL4 -]+ grep "/var/log" /etc/squid/squid.conf 
+ cache_access_log /var/log/squ'id/access.log 

+ cache_log /var/log/squid/cache.log 

+ cache_store_log /var/log/squid/store.log 


9.8. controlul accesului 

Setarea default squid permite doar acces localhost. Pentru a deschide raza de 
acțiune pentru o rețea privată, căutați propoziția "INSERT YOUR OWN RULE(S) 
HERE..." în squid.conf şi adăugați două Linii similare cu captura de ecran de mai 
jos. 

4 INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS 


acl company_network src 192.168.1.0/24 
http_access allow company_network 
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9.9. testare squid 


Mai întîi, asiguraţi-vă că serverul care rulează squid are acces la internet. 


[rooteRHEL4-]t wget -q http://Linux-training.be/index.html 
[rootQRHEL4-]t Is -1 index.html 

-rw-r--r-- 1 root root 2269 Sep 18 13:18 index.html 
[rootQRHEL4-]+ 


Apoi configurați un browser pe un client pentru a utiliza serverul proxy, sau 
ați putea seta variabila HTTP_PROXY (uneori http proxy) pentru a localiza 
programe de linie de comandă către proxy. 


[rootefedora -]t export HTTP_PROXY=http://192.168.1.39:8080 
[rooteubuntu =] export http_proxy=http://192.168.1.39:8080 


Testarea unei maşini client poate fi făcută cu wget (wget -q este folosit pentru 
a simplifica captura de ecran). 


[rootQRHEL5 =]4 > /etc/resolv.conf 

[rootQeRHEL5 =-]4 wget -q http://uwmw. linux-training.be/index.html 
[rootQRHEL5 =-]% 1s -1l index.html 

-rw-r--r-- 1 root root 2269 Sep 18 2008 index.html 

[rootQRHEL5 =-]% 


9.10. rezoluție nume 


Aveţi nevoie ca rezoluția numelui să meargă pe serverul squid, dar nu aveţi 
nevoie de rezoluția numelui pe clienți. 


[pauleRHEL5 =-]$ wget http://grep.be 

--14:35:44-- http://grep.be 

Resolving grep.be... failed: Temporary failure in name resolution. 
[pauleRHEL5 -]$ export http_proxy=>http://192.168.1.39:8080 
[pauleRHEL5 =-]$ wget http://grep.be 

--14:35:49-- http://grep.be/ 


Connecting to 192.168.1.39:8080... connected. 

Proxy request sent, awaiting response... 200 OK 

Length: 5390 (5.3K) [text/html] 

Saving to: 'index.html.1! 

100% [===============2==>2=2=22>2=22>=)]] 5,390 --.-K/s in 0.1s 
14:38:29 (54.8 KB/s) - 'index.html! saved [5390/5390] 


[pauleRHEL5 -]$ 
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Partea III. server dns 
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Capitolul 10. introducere la DNS 


dns este o parte fundamentală a fiecărei rețele mari de computere. dns este 
utilizat în multe servicii de rețea pentru a translata nume în adrese de reţea 
şi a localiza servicii pe rețea (după nume). 


Oricînd vizitaţi un website, trimiteţi un e-mail, vă logați la Active Directory, 
jucaţi Minecraft, folosiți chat sau VoIP, vor exista una sau (mai multe) 
interogări la serviciile dns. 


Dacă dns eşuează în organizația dumneavoastră, atunci întreaga rețea se va 
fricționa pentru un sfîrşit (numai dacă nu ați întărit prin codare adresele de 
rețea). 


Veţi observa că chiar şi cele mai mari organizații beneficiază mult prin faptul 
că au o infrastructură dns. Astfel dns cere tuturor unităților business să 
funcționeze împreună. 


Chiar şi acasă, cele mai multe modemuri şi rutere au o funcționalitate dns 
construită înăuntru. 


Acest modul va explica ce este în realitate dns şi cum să-l setăm folosind Linux 
şi bind9. 


10.1. despre dns 

10.1.1. rezoluția nume la adresă-ip 

domain name system sau dns (domeniu nume sistem) este un serviciu pe o reţea 
tcp/ip care permite clienților să transleze (să traducă) nume în adrese-ip. Este 
mult mai mult decît atît, dar să păstrăm lucrurile simple pentru moment. 

Cînd folosiți un browser ca să intrați pe un site web, atunci tastați numele 
acelui website în bara de adrese url. Dar pentru a comunica realmente cu 


serverul web care găzduieşte numitul website, computerul vostru are nevoie de 
adresa-ip a acelui server web. Aici intră în acțiune dns. 


Where is google.com ? 
Ca a 


PP It is at 66.102.13.105. 
d d 


192.168.1.30 


212.71.8.10 


în wireshark puteți folosi filtrul dns pentru a vedea acest trafic. 


nec [an II soressen.. deac seo 


No. „ Time Source Destination Protocol Info 
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10.1.2. istorie 


în anii 1970, doar cîteva sute de computere erau conectate la internet. Pentru a 
rezolva nume, computerele aveau un fişier care conținea un tabel pentru a 
rezolva hostname-uri în adrese-ip. Acest fişier local era downloadat de pe 
hosts.txt pe un server ftp în Stanford. 


În 1984 Paul Mockapertis a creat dns, o bază de date arborescentă distribuită 
ierarhic care va fi explicată în detaliu în aceste capitole. 


Astăzi, dns sau domeniu nume sistem este o bază de date mondială distribuită 
ierarhic controlată de ICANN. Funcția lui primară este de a rezolva nume în 
adrese ip, şi să îndrepte către servere internet care dau servicii smtp sau 
ldap. 

Vechiul fişier hosts.txt este încă activ astăzi pe cele mai multe sisteme de 
computer sub numele /etc/hosts. Vom discuta acest fişier mai tîrziu, deoarece el 
poate influiența rezoluția numelui. 

10.1.3. interogări deferente înainte şi revers 

întrebarea pe care o cere un client unui server dns este numită o interogare. 
Cînd un client interoghează o adresă-ip, asta se numeşte interogare deferentă 
înainte (precum se vede în desenul de mai sus). 

Reversul, o interogare pentru numele unui hostname, este numită interogare 
deferentă revers. 


Mai jos este un desen al unei interogări deferente revers. 


Who is 178.63.30.100 ? 
6 CP F 
pp It is antăres.g109y 5. net. 


192.168.1.30 


212.71.8.10 


Aici este o captură de ecran a unei interogări deferente revers în nslookup. 


pauleubul010:-ș$ nslookup 
> set type=PTR 

> 178.63.30.100 

Server: 212.71.8.10 
Address: 212.71.8.10453 


Non-authoritative answer: 
100.30.63.178.in-addr.arpa name = antares.ginsys.net. 


Aşa arată o interogare deferentă revers cînd interceptăm cu tcpdump. 


113 


rootedebian7:-t tcpdump udp port 53 

tcpdump: verbose output suppressed, use -v or -vwv for full protocol decode 
listening on etho, link-type EN10MB (Ethernet), capture size 65535 bytes 
11:01:29.357685 IP 192.168.1.103.42041 > 192.168.1.42.domain: 14763+ PT, 
R? 87.155.93.188.in-addr.arpa. (44) 

11:01:29.640093 IP 192.168.1.42.domain > 192.168.1.103.42041: 14763 1/0, 
/0 PTR antares.ginsys.net. (76) 


Şi aici este cum arată în wireshark (notaţi că aceasta este o captură de ecran 
mai veche). 


| Filter: |dns .] Expression... | Clear | Apply 


No... Time Source Destination Protocol Info 


10.1.4. /etc/resolv.conf 


Un computer client trebuie să ştie adresa ip a serverului dns pentru a fi 
capabil să-i trimită interogări. Asta este fie dată de serverul dhcp sau scrisă 
manual. 


Clienţii Linux păstrează această informație în fişierul /etc/resolv.conf. 


rootedebian7:-t cat /etc/resolv.conf 
domain linux-training.be 

search linux-training.be 

nameserver 192.168.1.42 
rootâdebian7:-4 


Puteţi schimba manual adresa ip în acest fişier pentru a folosi un alt server 
dns. Google dă un server cu nume public la 8.8.8.8 şi 8.8.4.4. 


rootâdebianr:-t cat /etc/resolv.conf 
nameserver 8.8.8.8 
rootedebian7: 4 


Notați vă rog că pe clienți dhcp această valoare poate fi suprascrisă cînd 
concesionarea dhcp este reînnoită. 


10.2. spațiu de nume dns 
10.2.1. ierarhie 
numele de spațiu dns (dns namespace) este o structură arborescentă ierarhică, cu 


serverele root (cunoscute şi sub denumirea servere-dot) la vîrf. Serverele root 
sînt de obicei reprezentate printr-un punct. 
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Mai jos de serverele-root sînt Domeniile de Nivel Superior (Top Level Domains) 
sau tld-uri. 


Există mai multe tld-uri decât sînt prezentate în acest desen. În mod curent 
aproape 200 de țări au un tld. Şi există câteva tld-uri generale ca .com, .edu, 
.0rg, .gov, .net, .mil, .int şi mai recent de asemeni .aero, .info, .museum, 


10.2.2. servere root 


Există 13 servere root pe internet, ele sînt numite de la A la M. Jurnaliştii 
fac deseori referire la aceste servere ca fiind serverele master ale 
internetului, deoarece dacă aceste servere nu funcționează, atunci nimeni nu 
poate (să folosească nume să) se conecteze la site-uri web. 


Serverele root nu sînt 13 maşini fizice, ele sînt mai multe. De exemplu serverul 
root F constă din 46 de maşini fizice care se comportă toate ca unul singur 
(folosind anycast). 

http://root-servers.org 

http://f.root-servers.org 

http://en.wikipedia.org/wiki/Root_nameserver. 

10.2.3. root indicativi 


Fiecare software server dns va veni cu o listă a root indicativi pentru a 
localiza serverele root. 


Acestă captură de ecran arată o mică porțiune a fişierului root indicativi care 
vine cu bind 9.8.4. 
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rootedebian7:-t grep -w !'A ! /etc/bind/db.root 


A.ROOT-SERVERS.NET. 3600000 A 198.41.0.4 
B.ROOT-SERVERS.NET. 3600000 A 192.228. 79.201 
C.ROOT-SERVERS.NET. 3600000 A 192.33.4.12 
D.ROOT-SERVERS.NET. 3600000 A 128.8.10.13 
E.ROOT-SERVERS.NET. 3600000 A 192.203.230.10 
F.ROOT-SERVERS.NET. 3600000 A 192.5.5.241 
G.ROOT-SERVERS.NET. 3600000 A 192.112.36.4 
H.ROOT-SERVERS.NET. 3600000 A 128.63.2.53 
I.ROOT-SERVERS.NET. 3600000 A 192.36.148.17 
J. ROOT-SERVERS.NET. 3600000 A 192.58.128.30 
K.ROOT-SERVERS.NET. 3600000 A 193.0.14.129 
L.ROOT-SERVERS.NET. 3600000 A 199.7.83.42 
M.ROOT-SERVERS.NET. 3600000 A 202.12.27.33 


rootedebian7:-% 
10.2.4. domenii 


Cu un nivel mai jos de domeniile de nivel înalt sînt domeniile. Domeniile pot 
avea subdomenii (de asemeni numite domenii child - copil). 


Acest desen arată domenii dns ca google.com, chess.com, linux-training.be 


(există mai multe milioane). 
LUI 


LIN 


"com" "org" "be" 
"google.com"  "chess.com” "linux-training.be" 


Domeniile DNS sînt înregistrate la serverele tld, serverele tld sînt 
înregistrate la serverele punct. 


10.2.5. domeniile de nivel superior 


Mai jos de nivelul root există domeniile de nivel superior sau tld. În mod 
originar au fost definite doar şapte: 


Tabelul 10.1. primele domenii de nivel superior 


an TLD scop 

1985 „arpa  Interogări deferente revers prin iîn-addr.arpa 

1985 „Com Organizații Comerciale 

1985 „edu Instituţii Educaţționale USA 

1985 .gov Instituţii Guvernamentale USA 

1985 „mil Armata USA 

1985 „net Furnizori de Servicii Internet, Infrastructură Internet 
1985 „org Organizații non-profit 

1988 „int Tratate Internaţionale ca nato.int 


tld-uri pentru ţară au fost definte pentru ţări individuale, ca .uk în 1985 
pentru Anglia (da, într-adevăr), .be pentru Belgia în 1988 şi .fr pentru Franța 
în 1986. Vedeți RFC 1591 pentru mai multe informații. 
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În 1998 şapte noi tld-uri pentru scopuri generale au fost alese, ele au devenit 
active în secolul 21. 


Tabelul 10.2. noi scopuri generale tld 


an TLD scop 

2002 „aero în legătură cu aviația 

2001 „biz business 

2001 „Coop pentru cooperative 

2001 „info resurse informatice internet 

2001 „museum pentru muzee 

2001 „name pentru toate tipurile de nume, pseudonime şi mărci .. 
2004 „pro pentru profesionişi 


Multă lume a fost surprinsă de alegeri, necerînd mult pentru folosirea lor şi 
dorind un domeniu separat .xxx pentru conținut adult (introdus în 2011), şi 
„kidz un rai sigur pentru copii. între timp mai multe tld-uri nefolositoare au 
fost create ca .travel (pentru agenţi de călătorie), .tel (pentru comunicări 
prin internet) şi .jobs (site-uri pentru job-uri). 


În 2012 ICANN a dat o listă cu 2000 de noi tld-uri care ar deveni disponibile în 
mod gradat. 


10.2.6. nume domeniu calificat deplin 


fully gualified domain name sau fqdn (nume domeniu calificat deplin) este o 
combinație a unui hostname a unei maşini adăugat cu numele domeniului lui. 


Dacă de exemplu un sistem este numit gwen şi este în domeniul linux-training.be, 
atunci fqdn-ul acestui sistem este gwen. linux-training.be. 


Pe sistemele Linux puteți folosi comenzile hostname şi dnsdomainname pentru a 
verifica această informație. 


rootâgwen:-% hostname 

gwen 

rootegwen:-t dnsdomainname 
linux-training.be 

rootâgwen:-% hostname --fqdn 

gwen. linux-training.be 

rootâgwen:-t cat /etc/debian_version 
6.0.10 


10.2.7. zone dns 
O zonă (cunoscută şi ca zonă de autoritate) este o porțiune a arborelui DNS care 
acoperă un singur nume domeniu sau un nume domeniu child. Desenul de mai jos 


arată zonele ca ovaluri albastre. Unele zone vor conține autoritate delegată 
asupra unui domeniu child spre o altă zonă. 
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"com" Dei 
Ş 


"google.com" "chess.com”  "linux-training.be' 


"mail.google.com" 


"test.linux-training.be' 


Un server dns poate fi autoritativ asupra 0, 1 sau mai multe zone dns. Vom vedea 
mai multe detalii mai tîrziu despre relația dintre un server dns şi o zonă dns. 


O zonă dns constă din înregistrări, de asemeni numite înregistrări resursă. Vom 
lista unele dintre aceste înregistrări resursă pe pagina următoare. 


10.2.8. înregistrări dns 

A record (înregistrare A) 

înregistrarea A, care de asemeni este numită o înregistrare host conține adresa 
ipv4 a unui computer. Cînd un client DNS interoghează un server DNS pentru o 
înregistrare A, atunci serverul DNS va rezolva numele de maşină (hostname) din 
interogare la o adresă ip. 0 înregistrare AAAA este similară dar conține o 
adresă ipv6 în loc de ipv4. 


PTR record (înregistrare PTR) 


O înregistrare PTR este reversul unei înregistrări A. Ea conține numele unui 
computer şi poate fi utilizată pentru a rezolva o adresă ip la un hostname. 


înregistrare NS 

O înregistrare NS sau înregistrare nume server este o înregistrare care ținteşte 
spre un server nume DNS (în această zonă). Puteţi lista toate numele de servere 
pentru zona DNS în înregistrări distincte NS. 


înregistrare glue A 


O înregistrare A care face maparea numelui unei înregistrări NS la o adresă de 
ip se spune că este o înregistrare glue. 


înregistrare SOA 


Înregistrarea SOA a unei zone conține meta informație despre zona însăşi. 
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Conținutul înregistrării SOA este explicată în detaliu în secțiunea despre 
transferuri de zone. Există exact o singură înregistrare SOA pentru fiecare 
zonă. 


înregistrare CNAME 


O înregistrare CNAME mapează un hostname la un hostname, creînd în mod efectiv 
un alias pentru un hostname existent. Numele serverului poştă este deseori făcut 
ca alias la mail sau smtp, şi numele unui server web la www. 


înregistrare MX 


Înregistrarea MX ținteşte spre un server smtp. Cînd trimiteţi un e-mail în alt 
domeniu, atunci serverul de poştă va avea nevoie de înregistrarea MX a țintei 
domeniului serverului poştă. 


10.3. servere caching only 


Un server dns care este setat fără autoritate asupra unei zone, dar este 
conectat la alte servere nume şi depozitează interogările este numit un server 
de nume caching only. Serverele de nume caching only nu au o zonă de bază de 
date cu înregistrări resursă. în schimb ele se conectează la alte servere nume 
şi depozitează acea informaţie. 


Există două feluri de servere caching only. Acelea cu un expeditor (forwarder), 
şi acelea care utilizează serverele root. 


10.3.1. server caching only fără expeditor 


Un server caching only fără expeditor (forwarder) va trebui să ia informaţia din 
altă parte. Cînd primeşte o interogare de la un client, atunci el va consulta 
unul dintre serverele root. serverul root va raporta asta la un server tld, care 
va raporta asta la un alt server dns. Ultimul server ar putea şti răspunsul la 
interogare, sau poate să facă referire la încă un alt server. La sfîrşit, 
serverul nostru dns care munceşte din greu va găsi un răspuns şi transmite 
informația înapoi la client. 


în desenul de mai jos, clienții cer adresa ip a linux-training.be. Serverul 
nostru caching only va contacta serverul root, şi este trimis la serverul .be. 
Atunci va contacta serverul .be şi va face trimitere la unul dintre serverele de 
nume al Openminds. Unul dintre aceste servere de nume (în acest caz 
ns1.openminds.be) va răspunde interogării cu adresa ip a linux-training.be. Cînd 
serverul nostru caching only raportează asta clientului, atunci clientul poate 
să se conecteze la acest website. 
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Where is linux-training.be ? 
6 Da a 
n 


It is at 188.93.155.87. 
i II 


n be" 


N 


"linux-training.be" 


O ns2.openminds.be' 


Interceptînd cu tcpdump vă va da asta (primele 20 de caractere a fiecărei linii 
sînt tăiate). 


192.168.1.103.41251 > M.ROOT-SERVERS.NET.domain: 37279% [lau] A? lLinux-tri 
aining.be. (46) 

M.ROOT-SERVERS.NET.domain > 192.168.1.103.41251: 37279- 09/11/13 (740) 
192.168.1.103.65268 > d.ns.dns.be.domain: 38555% [lau] A? linux-training.i 
be. (46) 

d.ns.dns.be.domain > 192.168.1.103.65268: 38555- 0/7/5 (737) 
192.168.1.103.7514 > ns2.openminds.be.domain: 60888% [lau] A? Linux-traini 
ing.be. (46) 

ns2 .openminds.be.domain > 192.168.1.103.7514: 60888x- 1/0/1 A 188.93.155.)| 
87 (62) 


10.3.2. server caching only cu expeditor 
Un server de nume caching only cu expeditor este un server DNS care va lua toate 


informațiile lui de la expeditor. Expeditorul trebuie să fie un server dns de 
exemplu serverul dns al unui ofertant de servicii internet [isp]. 


internet 


company DNS server 


"the forwarder” 


Acest desen arată un server dns pe un LAN al unei companii care a setat serverul 
dns de la isp-ul lor ca expeditor (the forwarder). Dacă adresa ip a serverului 
dns isp este 212.71.8.10, atunci următoarele linii ar trebui să existe în 
fişierul named.conf al server-ului dns al companiei: 


forwarders 
212.71.8.10; 
J; 
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Puteți de asemeni configura serverul dns pentru a lucra cu expeditori 
condiționali (conditional forwarder(s). Definiția unui expeditor condițional 
arată astfel. 


zone "'someotherdomain.local" 
type forward; 

forward only; 

forwarders î 10.104.42.1; |]; 


); 
10.3.3. interogări repetate sau recursive 


O interogare recursivă este o interogare DNS unde clientul care face interogarea 
aşteaptă un răspuns complet (ca săgețile groase roşii de mai sus care merg de la 
Macbook la serverul DNS). 0 interogare repetată este o interogare DNS unde 
clientul nu aşteaptă un răspuns complet (cele trei săgeți negre care pleacă de 
la serverul DNS în desenul de mai sus). Interogările repetate de obicei iau loc 
între serverele de nume. Serverele de nume root nu răspund la interogări 
recursive. 


10.4. servere autoritative dns 
Un server DNS care controlează o zonă, se spune că este serverul DNS autoritativ 


pentru acea zonă. Țineţți minte că o zonă este o colecție de înregistrări 
resursă. 


A SOA 


"linux-training.be” 


MX A 
NS 


10.5. primar şi secundar 


Cînd setați primul server dns autoritativ pentru o zonă, atunci acesta este 
numit serverul dns primar. Acest server va avea o copie care poate fi citită şi 
scrisă a bazei de date zonă. Din motive de toleranță la avarie, performanță sau 
echilibrarea solicitărilor puteți decide să setați un alt server dns cu 
autoritate deasupra acelei zone. Acesta este numit un server dns secundar. 
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" 


(i training 
MX 


writable copy of the zone readonly copy of the zone 


10.6. transferuri zone 


Serverul slave primeşte o copie a bazei de date zonă de la serverul master 
folosind o zonă transfer. Transferurile zone sînt cerute de către serverele 
slave la intervale regulate. Acele intervaluri sînt definite în înregistrările 
soa. 


zone transfer 


A — : 


Puteți forța o reîmprospătare dintr-o zonă cu rndc. Exemplul de mai jos forțează 
un transfer a zonei fred.local, şi afişează un jurnal de la /var/log/syslog. 


rootedebian7: /etc/bindt rndc refresh fred.local 

rootedebian7: /etc/bindt grep fred /var/log/syslog | tail -7 | cut -c38- 
zone fred.local/IN: sending notifies (serial 1) 

received control channel command 'refresh fred.local' 

zone fred.local/IN: Transfer started. 

transfer of 'fred.local/IN' from 10.104.109.1453: connected using 
10.104.33.30%+57367 

zone fred.local/IN: transferred serial 2 

transfer of 'fred.local/IN' from 10.104.109.1453: Transfer completed: 1 
messages, 10 records, 2 

zone fred.local/IN: sending notifies (serial 2) 

rootadebian?: /etc/bindt 


10.7. master şi slave 


Cînd adăugați un server dns secundar la o zonă, atunci veți configura acest 
server ca un server slave la serverul primar. Serverul primar atunci devine 
serverul master al serverului slave. 


Deseori serverul primar dns este serverul master al tuturor slave-urilor. Uneori 
un server slave este serverul master pentru a doua linie server slave. în 
desenul de mai jos ns1 este serverul dns primar şi ns2, ns3 şi ns4 sînt 
secundari. Master-ul pentru slave ns2 şi ns3 este nsi, dar master-ul pentru ns4 
este ns2. 
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slave 


/ zone transfer zone transfer 


11.8. înregistrare SOA 


înregistrarea soa conține o valoare refresh. Dacă aceasta este setată la 30 de 
minute, atunci serverul slave va solicita o copie a zonei fişier la fiecare 30 
de minute. Există de asemeni o valoare retry. Valoarea retry este utilizată cînd 
serverul master nu a răspuns la ultima cerere zonă de transfer. Valoarea pentru 
expirarea timpului spune cît de mult timp serverul slave va răspunde la 
interogări, fără a primi un update asupra zonei. 


Mai jos este un exemplu cum să folosim nslookup pentru a interoga înregistrarea 
soa a unei zone (Linux-training.be). 


rootedebian6:-4 nslookup 

> set type=SO0A 

> server nsl.openminds.be 

> Linux-training.be 

Server: ns1.openminds.be 
Address: 195.47.215.14453 


linux-training.be 
origin = nsl.openminds.be 
mail addr = hostmaster.openminds.be 
serial = 2321001133 
refresh = 14400 
retry = 3600 
expire = 604800 
minimum = 3600 


Transferurile de zonă se petrec doar cînd baza de date a zonei a fost updatată 
(însemnînd cînd una sau mai multe înregistrări resurse au fost adăugate, scoase 
sau schimbate pe serverul master). Serverul slave va compara numărul serial a 
propriei lui copii a înregistrării SOA cu numărul serial a înregistrării SOA a 
master-ului. Cînd ambele numere seriale sînt identice, atunci nici un update nu 
este necesar (pentru că nici un fel de înregistrări nu au fost adăugate, scoase 
sau şterse). Cînd serverul slave are un număr serial mai mic decît master-ul 
său, atunci un transfer de zonă este cerut. 


Mai jos este un transfer de zonă capturat în wireshark. 
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Time Source Destination Protocol Info 
1 0.000000 192.168.1.37  192.168.1.35 DNS Standard query SOA cobbaut.paul 
2 0.008502 192.168.1.35  192.168.1.37 DNS Standard query response SOA ns.cobbaut.paul 
3 0.014672 192.168.1.37  192.168.1.35 TCP 33713 > domain [SYN] Seq=0 Win=5840 Len=0 Ms 
4 0.015215 192.168.1.35  192.168.1.37 TCP domain > 33713 [SYN, ACK] Seq=0 Ack=1 Win=57 
5 0.015307 192.168.1.37  192.168.1.35 TCP 33713 > domain [ACK] Seq=1 Ack=1 Win=5856 Le 
6 0.015954 192.168.1.37  192.168.1.35 TCP [TCP segment of a reassembled PDU] 
7 9.018359 192.168.1.35  192.168.1.37 TCP domain > 33713 [ACK] Seq=1 Ack=3 Win=5792 Le 
8 0.018411 192.168.1.37  192.168.1.35 DNS Standard query IXFR cobbaut.paul 
9 0.018823 192.168.1.35  192.168.1.37 TCP domain > 33713 [ACK] Seq=1 Ack=77 Win=5792 L 
10 0.019784 192.168.1.35  192.168.1.37 DNS Standard query response SOA ns.cobbaut.paul 
11 0.019821 192.168.1.37  192.168.1.35 TCP 33713 > domain [ACK] Seq=77 Ack=295 Wwin=6912 
12 0.020618 192.168.1.37  192.168.1.35 TCP 33713 > domain [FIN, ACK] Seq=77 Ack=295 Win 
13 0.021011 192.168.1.35  192.168.1.37 TCP domain > 33713 (FIN, ACK] Seq=295 Ack=78 Win 
10.9. zone de transfer depline sau incrementale 


Cînd se petrece un transfer de zonă, asta poate fi fie un transfer de zonă 
deplin sau un transfer de zonă incremental. Decizia depinde de mărimea 
transferului de care este nevoie pentru a updata în mod complet zona de pe 
serverul slave. Un transfer de zonă incrementală este preferat cînd suma totală 
a schimbărilor este mai mică decât mărimea zonei bază de date. Transferul 
zonelor depline folosesc protocolul axfr, transferul zonelor incrementale 
folosesc protocolul ixfr. 


10.10. DNS cache 
DNS este un protocol de depozitare. 


Cînd un client interoghează serverul local DNS, şi serverul local DNS nu este 
autoritativ pentru interogare, atunci acest server va căuta un server nume 
autoritativ în arborele DNS. Serverul nume local va interoga mai întîi un server 
root, apoi un server tld şi apoi un server domeniu. Cînd serverul nume local 
rezolvă interogarea, atunci el va transmite această informație clientului care a 
pus interogarea, şi el va păstra de asemeni o copie a acestor interogări în 
memoria lui. Astfel cînd un (alt) client pune aceeaşi interogare acestui server 
nume, atunci el va găsi această informaţie din memoria lui. 


De exemplu, un client interoghează pentru înregistrarea A pe wwm. linux- 
training.be la serverul lui local. Asta este prima interogare primită vreodată 
de către acest server local. Serverul local verifică dacă nu este autoritativ 
pentru domeniul linux-training.be, nici pentru .be tld, şi nu este de asemeni un 
server root. Astfel serverul local va folosi sugerările root pentru a trimite o 
interogare repetată la un server root. 


Serverul root va răspunde cu o referință la serverul care este autoritativ 
pentru domeniul .be (serverele root DNS nu rezolvă cereri fqdn şi serverele root 
nu răspund la interogări recursive). 


Serverul local va trimite atunci o interogare repetată la serverul autoritativ 
pentru .be tld. Acest server va răspunde cu o referință la serverul nume care 
este autoritativ pentru domeniul linux-training.be. 


Serverul local va trimite atunci interogarea pentru wm. linux-training.be către 
serverul autoritativ (sau unul dintre serverele lui slave) pentru domeniul 
linux-training.be. Cînd serverul local primeşte adresa ip pentru www. Linux- 
training.be, atunci el va da această informație clientului care a pus această 
interogare. 


în afară de a memora înregistrarea A pentru www. linux-training.be, serverul 
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local de asemeni va depozita înregistrările NS şi A pentru serverul de nume 
linux-training.be şi serverul nume .be. 


10.11. exemplu zonă forward lookup 


Modalitatea de a seta zone în /etc/bind/named.conf. local este de a crea o 
intrare zonă cu o referință la alt fişier (acest nou fişier conține zona 
database) . 


Aici este un exemplu a unei astfel de intrări în /etc/bind/named. conf. local: 


rootâdebian7:-t cat /etc/bind/named.conf. local 
// 


// Do any local configuration here 


TA 


// Consider adding the 1918 zones here, if they are not used în your 
// organization 
/linclude "/etc/bind/zones.rfc1918"; 


zone "paul.local" IN 4 

type master; 

file "/etc/bind/db.paul. local"; 
allow-update ( none; ); 


J; 
rootadebian7: = 


Pentru a crea fişierul zonă, metoda uşoară este de a copia un fişier de zonă 
existent (asta e mai uşor decît a-l scrie de la zero). 


rootâdebian7: /etc/bindit cp db.empty db.paul.local 
rootedebian7: /etc/bindt vi db.paul. local 


Aici este un exemplu a unui fişier zonă. 
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rootedebian7: /etc/bindt cat db.paul. local 
; zone for classroom teaching 


ȘTTL 86400 
Q IN SOA debianpaul.paul.local. root.paul. local ( 
2014100100 ; Serial 
1h ; Refresh 
1h ; Retry 
2h ; Expire 
86400 ) ; Negative Cache TTL 
, 
; name servers 
, 
IN NS nsl 
IN NS debianpaul 
IN NS debian7 
, 
; servers 
> 
debianpaul IN A 10.104.33.30 
debian7 IN A 190.104.33.30 
nsl IN A 190.104.33.30 
$ WWW IN A 190.104.33.30 


10.12. exemplu: server DNS caching only 

1. instalare software DNS pe Debian. 
rootedebian7:-4 aptitude update && aptitude upgrade 
că ta deus aptitude install bind9 


rootedebian7:-4% dpkg -l | grep bind9 | tr -s!! 

ii bind9 1:9.8.4.dfsg.P1-6+nmu2+deb7u2 amd64 Internet Domain Name Server 

ii bindS-host 1:9.8.4.dfsg.P1-6+nmu2+deb7u2 amd64 Version of 'host! bundled... 
ii bindSutils 1:9.8.4.dfsg.P1-6+nmu2+deb7u2 amd64 Utilities for BIND 

ii Libbind9-80 1:9.8.4.dfsg.P1-6+nmu2+deb7u2 amd64 BIND9 Shared Library use... 
rootedebian7:-t 


2. Descoperiţi fişierele default de configurare. Puteţi defini scopul fiecărui 
fişier? 
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rootâdebian7:-t Is -l /etc/bind 
total 52 

-rw-r--r-- 
-rw-r--r-- 
-rw-r--r-- 


root root 2389 Sep 
root root 237 Sep 
root root 271 Sep 
-rw-r-==r-- root root 237 Sep 
-rw-r-==r-- root root 353 Sep 


1 20:25 bind.keys 
1 
1 
1 
1 
-rw-r--r-- 1 root root 270 Sep 
1 
1 
1 
1 
1 


20:25 db.0 

20:25 db.127 

20:25 db.255 

20:25 db.empty 

20:25 db. local 

20:25 db.root 

20:25 named.conf 

20:25 named.conf.default-zones 
20:01 named.conf.local 
13:24 named.conf.options 
11:14 rndc.key 

20:25 zones.rfc191 


-rw-r-==r-- root root 3048 Sep 
-rw-r==r-- root bind 463 Sep 
-rw-r==r== root bind 490 Sep 
-rw-r==r== root bind 374 Oct 
-rw=r==r== root bind 913 Oct 
-rw=r===== 1 bind bind 77 Oct 
-rw-r--r-- 1 root root 1317 Sep 


URR RIOUUUUUIUUNI UNU 


3. Setați un server dns caching only. Acesta este în mod normal setarea default. 
Un server nume caching only va căuta numele pentru voi şi la va depozita. Cele 
mai multe tutoriale vă vor spune să adăugați un forwarder, aşa că mai întîi vom 
încerca fără asta! 


Hei asta se pare că funcționează fără un forwarder. Folosind un interceptor 
putem afla ce se petrece într-adevăr (de vreme ce serverul nu utilizează o 
memorie tampon, nu utilizează serverul dns (din /etc/resolv.conf)). Astfel de 
unde vine acest trafic şi ce puteți învăța din interceptarea acestui trafic dns? 


4. Explicaţi în detaliu ce se întîmplă cînd autorizăm un server dns caching only 


fără forwarder. Acestă captură de ecran wireshark poate fi de ajutor, dar 
învățați mai mult interceptînd traficul voi înşivă. 
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File Edit View Go Capture Analy te . ools Help 


+ 3 (E) e + 
ese e) re) 


Destination Protocol Info 


Transaction ID: 0x6826 

Flags: 0x8000 (Standard query response, No error) 
Questions: 1 

Answer RRs: 0 

Authority RRs: 9 

Additional RRs: 13 


) slashdot.org: type A, class IN 

> Authoritative nameservers 

org: type NS, class IN, ns a2.org.afilias-nst.info 

org: type NS, class IN, ns b2.org.afilias-nst.org 

org: type NS, class IN, ns d.org.afilias-nst.org 

org: type NS, class IN, ns bo.org.afilias-nst.org 

org: type NS, class IN, ns a.org.afilias-nst.info 

org: type NS, class IN, ns cO.org.afilias-nst.info 

org: type DS, class IN 

org: type DS, class IN 

org: type RRSIG, class IN 
> Additional records 


CR 0 — cite — d cdi” AIR” alia” ala A 


CONCERN: 73 6c 61 73 68 64 6f 74 03. lashdot. 


9040 co 15 00 02 00 01 00 02 0 (la) ........ 
0050 a3 00 00 19 02 61 32 03 6f 72 67 0b 616669 6c  ..... . org.afil 


9060 69 61 73 2d 6e 73 74 04 69 6e 66 6f 00 co 1500 ias-nst. info.... 
0070 02 00 01 00 02 a3 00 00 15 02 62 32 03 6f 7267 ........ .. b2.org 
9080 Ob 61 66 69 6c 69 6173 2d6e 73 74c0 15 c0 15  .afilias -nst.... 
0090 00 02 00 01 00 02 a3 00 00 05 02 64 30 co 52 c0 ........ ... do.R. 
90a0 15 00 02 00 01 00 02 a3 00 00 05 02 62 30 c0 52 0  ........ .... bo.R 
00b0 co 15 00 02 00 01 00 02 a3 00 00 05 02 61 30 c0 O ........ ..... a0. 
00co 2d co 15 00 02 00 01 00 02 a3 00 00 05 02 63 30 O -....... ...... co 


-a 


Ar trebui să vedeți trafic către un root name server oricând încercați un nou 

tld pentru prima oară. Amintiţi-vă că dns este un protocol de depozitare, care 
înseamnă că repetarea unei interogări va genera mult mai puțin trafic de vreme 
ce serverul vostru dns va avea încă răspunsul în memoria lui. 


10.13. exemplu: caching only cu forwarder 


5. Adăugaţi serverul dns Google public ca un forwarder. Adresa ip a acestui 
server este 8.8.8.8. 


înainte de schimbare: 


rootâdebian7:-t grep -A2 'forwarders (! /etc/bind/named.conf.options 
// forwarders 

A 0.0.0.0; 

11 3 
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schimbând: 
rootedebian7:-t vi /etc/bind/named.conf.options 
După schimbare: 


rootâdebian7:-t grep -A2 'forwarders (! /etc/bind/named.conf.options 
forwarders 
8.8.8.8; 
); 


Restartați serverul: 


rootedebian7:-4 service bind9 restart 
Stopping domain name service...: bind9. 
Starting domain name service...: bind9. 


6. Explicați scopul adăugării forwarder-ului. Ce face serverul nostru dns cînd 
primeşte o interogare? 


rootedebian7:-4 nslookup 

> server 

Default server: 10.104.33.30 
Address: 10.104.33.30453 

> linux-training.be 

Server: 190.104.33.30 
Address: 10.104.33.30453 


Non-authoritative answer: 


Name: linux-training.be 
Address: 188.93.155.87 
> 


Aceasta este ieşirea a tcpdump udp port 53 în timp ce executăm interogarea de 
mai sus pentru linux-training.be în nslookup. 


rootedebian7:-t tcpdump udp port 53 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode 
listening on etho, link-type EN10MB (Ethernet), capture size 65535 bytes 


Ar trebui să găsiți următoarele două linii în ieşirea din tcpdump: 
10.104.33.30.19381 > google-public-dns-a.google.com.domain: 18237+% [lau] A? 
linux-training.be. (46) 

google-public-dns-a.google.com.domain > 10.104.33.30.19381: 18237 1/0/1 A 188) 
„93.155.87 (62) 


Mai jos este o captură de ecran (veche) wireshark care poate fi de folos, ar 
trebui să vedeți ceva similar (dar cu o adresă ip diferită). 
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= E jar) Gearfampa) 


zi Time Source Destination Protocol Info 
278 13.741725  192.168.1.37  192.168.1.1 DNS Standard query A cobbaut.be 


Frame 278 (81 bytes on wire, 81 bytes captured) 
) Ethernet II, Src: 8c:7b:9d:d6:df:f2 (8c:7b:9d:d6:df:f2), Dst: ZygateCo aa:68:f0 (00:02:cf:aa:68 
> Internet Protocol, Src: 192.168.1.37 (192.168.1.37), Dst: 192.168.1.1 (192.168.1.1) 
) User Datagram Protocol, Src Port: 44677 (44677), Dst Port: domain (53) 
” Domain Name System (query) 
Transaction ID: 0xf488 
) Flags: 0x0100 (Standard query) 
Questions: 1 
Answer RRs: 0 
Authority RRs: 0 
Additional RRs: 1 
x Queries 
P cobbaut.be: type A, class IN 
) Additional records 


7. Ce se întîmplă cînd interogați acelaşi domeniu de mai multe ori? 


8. De ce ne informează "non-authoritative answer"? Cînd este un server dns 
autoritativ? 


9. Puteți de asemeni să folosiți dig în loc de nslookup. 


rootedebian?:-t dig 010.104.33.30 lLinux-training.be +short 
188.93.155.87 
rootedebian7:-4 


10. Cum putem evita necesitatea de a seta serverul în dig sau nslookup? 
Schimbați asta: 


rootâdebian7:-t cat /etc/resolv.conf 
nameserver 10.46.101.1 
rootedebian7: = 


în asta: 


rootâdebianr:-t cat /etc/resolv.conf 
nameserver 10.104.33.30 
rootedebian7: = 


11. Cînd folosiți dig pentru prima oară pentru un domeniu, de unde vine 
răspunsul? Şi a doua oară? Cum puteți să vă dați seama? 


10.14. exemplu: server autoritativ primar 


1. În loc să depozităm informația de la alte servere, vom face acum serverul 
nostru autoritativ pentru domeniul nostru. 


2. Aleg top level domain .local şi domeniul paul.local şi pun informația în 
/etc/bind/named. conf. local. 
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rootâdebian7:-4 cat /etc/bind/named.conf. local 

/I 

// Do any local configuration here 

/I 

// Consider adding the 1918 zones here, if they are not used în your 
// organization 

//include "/etc/bind/zones.rfc1918"; 


zone "paul. local" IN 7 
type master; 
file "/etc/bind/db.paul. local"; 
allow-update ( none; ); 


); 


3. Adăugați de asemeni un fişier database zone, similar cu acesta (adăugați 
nişte înregistrări A pentru testare). Setaţți valorile Refresh şi Retry nu foarte 
mari aşa încât să puteți intercepta acest trafic (acest exemplu face ca serverul 
slave să contacteze pe cel master în fiecare oră). 


rootedebian7:-t cat /etc/bind/db.paul. local 
; zone for classroom teaching 


ȘTTL 86400 
Q IN SOA debianpaul.paul. local. root.paul.local ( 
2014100101 ; Serial 
1h ; Refresh 
1h ; Retry 
2h ; Expire 
900 ) ; Negative Cache TTL 
> 
; name servers 
, 
IN NS nsl 
IN NS debianpaul 
IN NS debian7 
, 
; servers 
> 
debianpaul IN A 109.104.33.30 
debian7 IN A 190.104.33.30 
nsl IN A 190.104.33.30 
WWW IN A 190.104.33.30 


rootedebian7:-4 
Notați că înregistrarea www este decomentată, astfel că nu va rezolva nume. 
10.14.1. folosirea propriului server DNS 


Dacă sînteți încrezători că serverul dns funcționează, atunci setați-l ca 
default şi singurul server dns în /etc/resolv.conf. 


rootâdebian7:-t cat /etc/resolv.conf 
nameserver 10.104.33.30 
rootedebian7: = 


în cazul în care de asemeni folosiți dhclient, va trebui să adăugați serverul 
dvs. dns în /etc/dhcp/dhclient.conf. 


131 


rootedebian7:-4 diff /etc/dhecp/dhclient.conf /etc/dhcp/dhclient.conf.original 
21c21 
< prepend domain-name-servers 10.104.33.30; 


> iprepend domain-name-servers 127.0.0.1; 


23, 24c23 

< 4 domain-name, domain-name-servers, domain-search, host-name, 
< domain-name, domain-search, host-name, 

> domain-name, domain-name-servers, domain-search, host-name, 


rootedebian7:-% 


Captura de ecran de mai sus arată că 10.104.33.30 este acum o opțiune default pe 
care clientul dhcp nu ar mai trebui să o ceară de la serverul dhcp. 


Ajustați /etc/hosts pentru a reflecta numele domeniu şi verificați cu hostname 
şi dnsdomainname. 


rootedebian7:-t grep debian7 /etc/hosts 
127.0.1.1 debian7.paul. local debian7 
rootâdebian7:-4 hostname 

debian7 

rootedebian7:-t hostname --fqdn 
debian7.paul. local 

rootadebian7:-4 dnsdomainname 

paul. local 


10.14.2. folosind propriul dumneavoastră domeniu 


Luaţi în considerare următoarea captură de ecran: 


rootâadebianrb:-t cat /etc/resolv.conf 

nameserver 10.104.33.30 

rootâdebian?b:-4 ping -cl www 

ping: unknown host www 

rootedebianrb:-t vi /etc/resolv.conf 

rootedebianrb:-t cat /etc/resolv.conf 

nameserver 10.104.33.30 

domain paul.local 

rootâdebian?b:-4 ping -cl www 

PING www.paul.local (10.104.33.31) 56(84) bytes of data. 
64 bytes from 10.104.33.31: icmp_req=1l ttl=64 time=0.021 ms 


--- www.paul.local ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 0.021/0.021/0.021/0.000 ms 
rootedebianrb:-t 


Adăugînd directiva domain paul. local în /etc/resolv.conf permite omiterea 
domeniului cînd folosim hostname-uri. 


Puteți îndeplini această directivă automatic ajustînd dhclient.conf. 


rootedebian7:-t grep paul.local /etc/dhcp/dhclient.conf 
prepend domain-name "paul.local"; 

prepend domain-search "paul. local"; 

rootedebian7: = 
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4. Restartaţți serverul DNS şi căutați zona în jurnalul erorilor. 


rootedebian7:-% service bind9 restart 

Stopping domain name service...: bind9. 

Starting domain name service...: bind9. 

rootedebianr:-t grep paul. local /var/log/syslog 

Oct 6 09:22:18 debian7 named[2707]: zone paul.local/IN: loaded seria 
1 2014100101 

Oct 6 09:22:18 debian7 named[2707]: zone paul. local/IN: sending notii 
fies (serial 2014100101) 


5. Folosiţi dig sau nslookup (sau chiar ping) pentru a testa înregistrările A. 


rootedebian?r:-t ping -cl nsl.paul.local 

PING ns1l.paul.local (10.104.33.30) 56(84) bytes of data. 

64 bytes from 109.104.33.30: icmp_req=1l ttl=64 t'ime=0.006 ms 
--- nsl.paul.local ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 0.006/0.006/0.006/0.000 ms 
rootedebian7:-4 ping -cl www.paul. local 

ping: unknown host www.paul. local 


Notați că înregistrarea www a fost decomentată astfel că va trebui să eşueze. 


rootedebian?r:-t dig debianr7.paul. local 


; <<>> DIG 9.8.4-rpz2+rl005.12-P1 <<>> debianr.paul. local 

;; global options: +cmd 

;; Got answer: 

;; —>>HEADER<<- opcode: QUERY, status: NOERROR, id: 50491 

;; flags: gr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 2 


;; QUESTION SECTION: 
;debian7.paul. local. IN A 


;; ANSWER SECTION: 
debian7.paul. local. 86400 IN A 190.104.33.30 


;; AUTHORITY SECTION: 


paul.local. 86400 IN NS nsl.paul.local. 
paul.local. 86400 IN NS debian7.paul.local. 
paul.local. 86400 IN NS debianpaul.paul.local. 


;; ADDITIONAL SECTION: 
nsl.paul.local. 86400 IN A 109.104.33.30 
debianpaul.paul.local. 86400 IN A 190.104.33.30 


;; Query time: 4 msec 

;; SERVER: 10.104.33.304+53(10.104.33.30) 
;; WHEN: Mon Oct 6 09:35:25 2014 

;; MSG SIZE rcvd: 141 


rootedebian7:-% 


6. Serverul nostru primar apare ca fiind funcțional. Notaţi informaţia de aici: 
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server os _ : Debian 7 

ip address : 10.104.33.30 
domain name: paul.local 
server name: ns1.paul. local 


10.15. exemplu: un server DNS slave 


1. Un server slave transferă zona informației în rețea de la un server master 
(un slave poate fi de asemeni un master). Un server primar menţine zonele 
înregistrări în sistemul de fişiere local. Ca un exercițiu, şi pentru a verifica 
lucrările tuturor studenților, setați un server slave al tuturor serverelor 
master în sala de curs. 


2. Înainte de a configura serverul slave, trebuie să permitem transferuri din 
zona noastră la acest server. Țineţți minte că acest lucru nu este foarte 
securizat pentru că transferurile sînt în text clar şi limitate la o adresă ip. 
Acest exemplu urmează demonstrația noastră de mai sus. 


Imaginați-vă un student numit Jesse care a completat configurația cum este 
arătat mai sus, cu numele domeniu jesse.locatl şi adresa ip 190.104.15.20. Scopul 
este să avem un server slave a paul.local pe computerul lui Jesse şi o zonă 
slave a jesse.local pe computerul meu. 


Mai jos este un exemplu a unei declarații allow-transfer. Atenție, poate că 
setarea default permite transferul oricăreia. 


rootadebian7: /etc/bindt cat named.conf.local 
/I 
// Do any local configuration here 


// 


// Consider adding the 1918 zones here, if they are not used în your 
// organization 
/linclude "/etc/bind/zones.rfc1918"; 


zone "paul.local" IN 4 

type master; 

file "/etc/bind/db.paul. local"; 
allow-update ( none; ); 
allow-transfer ( 10.104.15.20; |; 
); 


3. Cu configurația de mai jos pot face serverul meu un slave pentru zona 
jesse. local. 


rootadebianr: /etc/bindt tail -6 named.conf.local 
zone "jesse.local" IN î 

type slave; 

file "/var/cache/named/db.jesse.local"; 

masters î 10.104.15.20; ); 

); 


rootedebian7: /etc/bindt mkdir /var/cache/named/ 
rootâdebian7: /etc/bindt chown bind:bind /var/cache/named/ 
rootadebian7: /etc/bindt Is -ld /var/cache/named/ 
drwxr-xr-x 2 bind bind 4096 Oct 1 20:01 /var/cache/named/ 


Notați că am pus zonele slave în /var/cache/named şi nu în /etc/bind. 
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4. Restartînd bind pe serverul slave ar trebui să transfere fişierul de zonă 
database. Verificaţi asta în /var/log/syslog. (Timpul şi data sînt trunchiate 
din captura de ecran, şi Jesse nu a utilizat data curentă în numărul serial...) 


rootedebian7: /etc/bindt grep jesse /var/log/syslog 

named[2731]: zone jesse.local/IN: Transfer started. 

named[2731]: transfer of 'jesse.local/IN' from 10.104.15.20+53: connected uj 
sing 10.104.33.30444719 

named[2731]: zone jesse.local/IN: transferred serial 20110516 

named[2731]: transfer of 'jesse.local/IN' from 10.104.15.20+53: Transfer col 
mpleted: 1 messages, 8 records, 239 bytes, 0.001 secs (239000 bytes/sec) 


Şi conținutul zonei slave: 


rootedebian7: /etc/bindt cat /var/cache/named/db.jesse.local 
ȘORIGIN 


ȘTTL 604800 ; 1 week 
jesse.local IN SOA ns.jesse.local. root.jesse.local.jesse.local. ( 
20110516 ; serial 
300 ; refresh (5 minutes) 
200 ; retry (3 minutes 20 seconds) 
2419200 ; expire (4 weeks) 
604800 ; minimum (1 week) 
) 
NS ns.jesse.local. 
ȘORIGIN jesse. local. 
anya A 10.104.15.1 
mac A 190.104.15.30 
ns A 190.104.15.20 
ubu1l010srv A 100.104.15.20 
WWW A 190.104.15.25 


rootadebian7: /etc/bindt 
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10.16. practică: dns 
1. Instalați bind9 şi verificați cu un interceptor cum funcționează. 
2. Adăugați un forwarder şi verificați dacă funcționează. 


3. Creați o zonă primară forward lookup numiță yourname. local cu cel puțin două 
înregistrări NS şi patru înregistrări A. 


4. Folosiţi dig şi nstookup pentru a verifica înregistrările NS şi A. 


5. Creați un slave pentru zona dvs. primară (pe celălalt server) şi verificați 
transferul de zonă. 


6. Setați două zone primare pe două servere şi implementați un forwarder 
condițional (puteţi folosi cele două servere de mai înainte). 
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10.17. soluție: dns 
1. Instalați bind9 şi verificați cu un interceptor cum funcționează. 


Ar trebui să vedeţi interogări spre serverele root nume cu tcpdump sau 
wireshark. 


2. Adăugați un forwarder şi verificați dacă funcționează. 
Forwarder-ul poate fi adăugat în named.conf.options aşa cum se vede în teorie. 


3. Creați o zonă primară forward lookup numiță yourname. local cu cel puțin două 
înregistrări NS şi patru înregistrări A. 


Aceasta este explicat literal în teorie. 
4. Folosiţi dig şi nstookup pentru a verifica înregistrările NS şi A. 
Aceasta este explicat literal în teorie. 


5. Creați un slave pentru zona dvs. primară (pe celălalt server) şi verificați 
transferul de zonă. 


Asta este explicat literal în teorie. 


6. Setați două zone primare pe două servere şi implementați un forwarder 
condițional (puteţi folosi cele două servere de mai înainte). 


Un forwarder condiţional este setat în named.conf.local ca o zonă. (vedeţi 
teoria despre forwarder). 
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Capitolul 11. DNS avansat 


Acest capitol extinde subiectul server DNS cu round robin dns pentru servere 
load balancing, delegare dns pentru a delega domeniile child spre o altă echipă 
şi dns split horizon pentru a putea oferi locații servicii locale către clienţi. 


Există mai multe informații despre dns, conținutul va fi adăugat rsn. 
11.1. DNS round robin 


Cînd creați înregistrări multiple A pentru acelaşi nume, atunci bind va face un 
round robin în ordinea în care aceste înregistrări sînt returnate. Aceasta 
permite utilizarea DNS să echilibreze solicitările între nume de maşini, de 
vreme ce clienții de obicei vor lua prima adresă ip oferită. 


Luaţi în considerare acest exemplu din fişierul de configurație zonă 
/etc/bind/db.paut. local. Există două înregistrări A pentru www care trimit la 
două adrese ip distincte. 


rootedebian7:-t grep wwm /etc/bind/db.paul. local 
WWW IN A 190.104.33.30 
WWW IN A 190.104.33.31 


Mai jos este o captură de ecran a nstookup interogînd o înregistrare A load 
balanced. Observați ordinea adreselor ip returnate. 


rootâdebian7r:-t nslookup www.paul. local 10.104.33.30 
Server: 109.104.33.30 
Address: 10.104.33.304+53 


Name:  www.paul.local 
Address: 10.104.33.31 
Name:  www.paul.local 
Address: 10.104.33.30 


rootâdebianr:-t nslookup www.paul. local 10.104.33.30 
Server: 109.104.33.30 
Address: 10.104.33.30+53 


Name:  www.paul.local 
Address: 109.104.33.30 
Name:  www.paul.local 
Address: 10.104.33.31 


încercați să setați un website pe două servere web (cu o mică diferență astfel 
încât să puteți distinge website-urile) şi testați round robin. 


11.2. delegare DNS 


Puteți delega un domeniu child la alt server DNS. Domeniul child devine atunci o 
nouă zonă, cu autoritate la noul server dns. 
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"test.linux-training.be” 
has authority over 


Cînd delegarea este setată bine, atunci clienții care interoghează zona parent 
vor fi de asemeni capabili să rezolve zonele delegate child. 


11.3. exemplu: delegare DNS 


Avem un alt server Linux numit debian?b şi vrem să-l facem responsabil pentru 
domeniul child test42.paul. local. 


Observați că numele serverelor în captura de ecran sînt fie debian7 (găzduind 
domeniul parent) fie debian7b (găzduind domeniul child). 


începem prin a ajusta fişierul /etc/bind/named.conf.local (pe găzduirea server a 
domeniului parent) pentru a ne asigura că nici un forwarder nu va fi folosit 
cînd rezolvăm nume autoritative. 


rootedebian7:-t grep -A4 paul. local /etc/bind/named.conf.local 
zone "paul.local" IN 4 
type master; 
file "/etc/bind/db.paul. local"; 
allow-update ( none; ); 
allow-transfer ( 109.104.15.20; ); 
forwarders f |]; 
); 
rootâdebian7:-4 


în mod tehnic, puteţi de asemeni să setaţi allow-transfer la ( any ); în timp ce 
depanăm şi apoi îl redefinim mai tîrziu, dar asta nu este necesar pentru 
delegare. 


Apoi adăugăm delegarea pentru zona de bază de date a noastră: 


rootedebian7:-t tail -3 /etc/bind/db.paul. local 

ȘORIGIN test42.paul. local. 

Q IN NS ns2.test42.paul. local. 

ns2 IN A 190.104.33.31 ; the glue record 
rootedebian7:-+ 
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Nu uitaţi să restartați bind şi să verificați /var/log/syslog. 


rootâdebian7:-4 service bind9 restart 

Stopping domain name service...: bind9. 

Starting domain name service...: bind9. 

rootedebian7:-4 grep paul. local /var/log/syslog | cut -c28- | tail -2 
named[3202]: zone paul. local/IN: loaded serial 2014100801 

named[ 3202]: zone paul. local/IN: sending notifies (serial 2014100801) 
rootadebian7: = 


Notați că în terminal puteți tasta tail -40 /var/log/syslog pentru că singurul 
motiv pentru care eu folosesc grep, cut şi tail -2 este pentru a limita mărimea 
capturilor de ecran în acestă carte. 


Apoi creăm un fişier de zonă bază de date pe al doilea server, precum se vede în 
această captură de ecran: 


rootedebian?b:-4 cat /etc/bind/db.test42.paul. local 
; child zone for classroom teaching 

ȘTTL 86400 

ȘORIGIN test42.paul. local. 


Q IN SOA ns2.test42.paul. local. root.test42.paul.local. ( 
2014100802 ; Serial 
1h ; Refresh 
1h ; Retry 
2h ; Expire 
900 ) ; Negative Cache TTL 


> Name servers 


IN NS ns2.test42.paul. local. 
IN NS debianrb.test42.paul. local. 
, 
; servers 
, 
ns2 IN A 190.104.33.31 
debian7b IN A 190.104.33.31 


testsrv IN A 100.104.33.31 
rootedebian?b: = 


Celui de-al doilea server îi trebuie de asemeni o definiție a zonei în 
named.conf.local, urmat de un restart a bind. 
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rootedebianrb:-t cat /etc/bind/named.conf. local 
/I 
// Do any local configuration here 


/I 


// Consider adding the 1918 zones here, if they are not used în your 
// organization 
//include "/etc/bind/zones.rfc1918"; 


zone "test42.paul. local" IN 
type master; 
file "/etc/bind/db.test42.paul. local"; 
allow-update î[ none; ); 
allow-transfer î any; |; 
); 
rootâdebianrb: -4 


Testare pe serverul parent: 

rootedebian?7:-t dig ns1.paul. local +short 
190.104.33.30 

rootâdebian7:-t dig ns2.test42.paul.local +short 
109.104.33.31 

rootedebian7:-t dig debianrb.test42.paul. local +short 
190.104.33.31 


11.4. exemplu: DNS split-horizon 


să presupunem că vreți să răspundeţi la interogări dns depinzînd de cine 
întreabă. De exemplu cînd cineva din rețeaua 10.104.15.0/24 (aranjată de Jesse) 
cere înregistrarea A www.paul. local, atunci dns răspunde cu 10.104.33.30. Dar 
cînd cineva din reţeaua 10.104.42.0/24 (aranjată de Keith) cere aceiaşi 
înregistrare A al www.paul. local, el va primi 10.104.33.31 ca răspuns. 


O setare split-horizon poate fi folosită pentru a redirecta oamenii la copii 
locale a anumitor servicii. 


în acest exemplu vrem să decidem asupra unor răspunsuri specifice pentru două 
rețele (a lui Jesse şi a lui Keith) şi să le prevenim să nu utilizeze serverul 
nostru dns pentru recursivitate, în timp ce menţinem capabilitatea de a rezolva 
internetul şi zona noastră paul. local de la propria noastră reţea. 


începem prin a crea trei clauze view în named.conf. local. 
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rootadebian7: /etc/bindt cat named.conf. local 
view "paul" 4 
match-clients ( 10.104.33.0; localhost; |; 
include "/etc/bind/named.conf.default-zones"; 
zone "paul. local" IN 

type master; 

file "/etc/bind/db.paul. local"; 

allow-update î none; ); 

); 


); // end view internal 


view "jesse" î 
match-clients ( 10.104.15/24; |; 
zone "'paul.local" IN 4 
type master; 
file "/etc/bind/db.paul. local.jesse"; 
allow-update î[ none; ); 
); 


pe // end view jesse 


view "keith" 
match-clients î 10.104.42/24; |; 
zone "paul.local" IN 4 
type master; 
file "/etc/bind/db.paul. local.keith"; 
allow-update [ none; ); 
); 
); // end view keith 


Începem prin a crea trei clauze view în named.conf 
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„local. 


rootadebian7: /etc/bindt cat named.conf. local 
view "paul" 4 
match-clients ( 10.104.33.0; localhost; |; 
include "/etc/bind/named.conf.default-zones"; 
zone "paul. local" IN 
type master; 
file "/etc/bind/db.paul. local"; 
allow-update î[ none; ); 
); 
); // end view internal 
view "jesse" î 
match-clients î 10.104.15/24; |; 
zone "paul. local" IN 
type master; 
file "/etc/bind/db.paul.local.jesse"; 
allow-update î[ none; ); 
); 


IA: // end view jesse 


view "keith"” 
match-clients î 10.104.42/24; |; 
zone "paul. local" IN 7 
type master; 
file "/etc/bind/db.paul.local.keith"; 
allow-update î[ none; ); 
); 
); // end view keith 


Notați că am inclus zonele default în zona internă. Este obligatoriu să punem 
toate zonele în interiorul view cînd folosim un view. 


Zonele fişier sînt copii identice, cu excepția înregistrării wwm. Puteţi vedea 
că round robin este încă activ pentru utilizatorii interni, computerele de la 
10.104.15.0/24 (Jesse) vor primi întotdeauna 10.104.33.30 în timp ce computerele 
de la 10.104.42.0/24 (Keith) vor primi 109.104.33.31. 


rootedebian7: /etc/bindt grep www db.paul.local db.paul.local.[jk]x 


db.paul. local: www IN A 109.104.33.30 
db.paul. local :www IN A 10.104.33.31 
db.paul. local.jesse:www IN A 190.104.33.30 
db.paul.local.keith:www IN A 10.104.33.31 


11.5. secțiuni vechi DNS 


Toate lucrurile dns mai jos de acest paragraf sunt vechi şi au nevoie urgentă de 
a fi revăzute. 


11.5.1. exemplu vechi: DNS în revers 


1. Putem adăuga ip la rezoluția numelui la serverul nostru dns folosind o zonă 
dns în revers. 


2. Începeți prin a adăuga o zonă .arpa la /etc/bind/named.conf. local astfel 


(setăm notify la nu pentru a evita trimiteri de mesaje de notificare la alte 
servere nume): 
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rootâubul010srv:/etc/bindt grep -A4 arpa named.conf.local 
zone 11.168.192.in-addr.arpa" î 
type master; 


notify no; 
file "/etc/bind/db.192"; 
); 


3. De asemeni creăm o zonă bază de date pentru această zonă lookup în revers. 


rootQubulOlOsrv:/etc/bindt cat db.192 


p] 


; BIND reverse data file for 192.168.1.0/24 network 


> 

ȘTTL 604800 

Q IN SOA ns.cobbaut.paul root.cobbaut.paul. ( 
20110516 ; Serial 

604800 ; Refresh 

86400 ; Retry 

2419200 ; Expire 

604800 ) ; Negative Cache TTL 


> 

Q IN NS ns. 

37 IN PTR ns.cobbaut.paul. 
1 IN PTR anya.cobbaut.paul. 
30 IN PTR mac.cobbaut.paul. 
rootQubulO1Osrv: /etc/bindt 


4. Testăm cu nslookup sau dig: 


rootQubul010srv:/etc/bindt dig 1.168.192.in-addr.arpa AXFR 
11.5.2. echilibrare solicitări DNS veche 


Nu e ca mai sus. Cînd aveți mai mult decît un singur server DNS autoritativ 
pentru o zonă, puteţi împrăştia interogări în toate serverele. 0 modalitate de a 
face asta este de a crea înregistrări NS pentru toate serverele care participă 
la echilibrarea solicitărilor interogărilor externe. 


Ați putea de asemeni să configurați servere de nume diferite pe clienți interni. 
11.5.3. notificare DNS veche 

Proiectarea originală a DNS în rfc 1034 şi rfc 1035 a implementat un timp de 
refresh în înregistrarea SOA pentru a configura un timp loop pentru serverele 
slave de a interoga serverele lor master. Asta poate avea ca rezultat o mulțime 
de cereri scoase inutil, sau într-un spațiu de timp semnificativ între update- 
uri. 

Din acest motiv a fost proiectată notificarea dns (rfc 1996). Serverul va 
înştiința acum slave-urile oricând există un update. Acest serviciu este activat 
prin default în bind. 


Notificarea poate fi dezabilitată ca în această captură de ecran. 
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zone 11.168.192.in-addr.arpa" î 
type master; 


notify no; 
file "/etc/bind/db.192"; 
A 


11.5.4. testare IXFR şi AXFR veche 


Transferurile depline ale zonelor (AXFR) sînt iniţiate cînd restartați serverul 
bind, sau cînd updatați manual fişierul zonei baze de date în mod direct. Cu 
nsupdate puteți updata o zonă bază de date şi să inițiați un transfer de zonă 
incremental. 


Aveţi nevoie de DDNS permis pentru ca nsupdate să funcționeze. 


rooteubul010srv: /etc/bindt nsupdate 

> server 127.0.0.1 

> update add mac14.linux-training.be 86400 A 192.168.1.23 
> send 

update failed: REFUSED 


11.5.5. interogare DDNS cu DHCP veche 


Unor organizații le place să aibă toate computerele client în DNS. Asta poate fi 
incomod de întreținut. Din fericire rfc 2136 descrie interogarea serverelor DHCP 
cu un server DNS. Oricând DHCP recunoaşte configurația unui client ip, el poate 
informa DNS cu aceşti clienți adresa ip şi numele. Acesta este denumit dynamic 
updates sau DDNS. 


11.5.6. reverse este forward in-addr.arpa veche 

Deferent în revers este în realitate implementat ca un deferent înainte în 
domeniul in-addr.arpa. Acest domeniu are 256 de domenii child (de la 0.in- 
addr.arpa la 255.in-addr.arpa), cu fiecare domeniu child avînd din nou 256 de 
domenii child. Şi asta de două ori mai mult lao structură a peste patru 
miliarde (2 la puterea 32) de domenii. 

11.5.7. ipv6 vechi 

Cu rfc 3596 au venit extensiile ipv6 pentru DNS. Acolo există înregistrarea AAA 
pentru nume de maşini ipv6 pe rețea, şi există domeniul ip6.int pentru deferenţe 
revers (avînd 16 domenii child de la 0.ip6.int la f.ipâ.int, fiecare dintre ele 
avînd din nou 16 domenii child... şi asta de 16 ori. 

11.5.8. securitate DNS: fişier corupt vechi 

Pentru a diminua coruperea de fişiere pe fişierele zonă şi fişierele bind 
configuration protejați-le cu permisiuni Unix şi faceți backup-uri în mod 
regulat. 

11.5.9. securitate DNS: zone de transfer vechi 


Limitaţi zonele de transfer la anumite adrese ip în loc de any. Nu are 
importanță dacă anumite adrese ip pot fi falsificate, folosiți încă asta. 


11.5.10. securitate DNS: zone de transfer, falsificare ip vechi 


Ați putea seta DNSSEC (care nu este uşor de întreținut) şi cu rfc 2845 (tsig?) 
şi cu rfc 2930 (tkey, dar asta este deschis la forţă brută), sau ați putea 
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dezactiva toate zonele de transfer şi folosi un script cu ssh pentru a le copia 
manual. 


11.5.11. securitate DNS: interogări vechi 


Permiteţi recurs doar din rețeaua locală, şi interogări repetate din exterior 
doar cînd este necesar. Asta poate fi configurat pe serverele master şi slave. 


view "internal" 
match-clients î 192.168.42/24; ),; 
recursion yes; 


); 


view "external" 
match-clients ( any; ); 
recursion no; 


); 
Sau permiteți interogări doar din rețeaua locală. 


options 
allow-query î 192.168.42.0/24; localhost; |; 
); 


zone "'cobbaut.paul" £ 
allow-query (any; ); 


); 
Sau permiteți doar interogări recursive de la clienți interni. 


options 
allow-recursion ( 192.168.42.0/24; localhost; |; 
); 


11.5.12. securitate DNS: bind chrooted vechi 


Cele mai multe distribuții Linux permit o setare uşoară a bind într-un mediu de 
lucru chrooted. 


11.5.13. securitate DNS: DNSSEC vechi 


DNSSEC foloseşte chei publice/private pentru a securiza comunicațiile, asta este 
descris în rfc-urile 4033, 4034 şi 4035. 


11.5.14. securitate DNS: root vechi 


Nu executați bind ca root. Nu rulați nici un daemon aplicație ca root. 
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Partea IV. server dhcp 
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Capitolul 12. introducere în dhcp 


Dynamic Host Configuration Protocol (sau pe scurt dhcp) (protocol de configurare 
dinamică a maşinii gazdă) este un protocol standard tcp/ip care distribuie 
configurații ip către clienți. dhep este definit în rfc 2131 (înainte de asta a 
fost definit ca o actualizare la bootp în rfc 1531/1541). 


Alternativa la dhcp este de a introduce manual configurația ip pe fiecare 
computer client. 


12.1. patru broadcast 

dhcp funcționează cu broadcast-uri layer 2. Un client dhcp care porneşte, va 
trimite o descoperire dhcp pe rețea. Toate serverele dhcp (care au o închiriere 
disponibilă) vor răspunde cu o ofertă dhcp. Clientul va alege una dintre aceste 
oferte şi va trimite o cerere dhcp conținînd oferta aleasă. Serverul dhcp de 
obicei răspunde cu un dhcp ack(knowledge) (recunoaştere dhcp). 


în wireshark arată astfel. 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 


3-a a aȘ 9 3s EEE aaa - 


Filter: » | Expression... | Clear | Apply 
No. . Time Source Destination Protocol Info ||” 
40387 1687.653918 192. 168.1.200 255.255.255.255 DHCP DHCP ACK - Transac ] 
>) 
LIEILLIIL LI UUUILII. V.V.UV.V |U.V.V.U) iai 
Your (client) IP address: 192.168.1.158 (192.168.1.158) 
Next server IP address: 0.0.0.0 (0.0.0.0) 
Relay agent IP address: 0.0.0.0 (0.0.0.0) 
Client MAC address: CadmusCo 5e:38:76 (08:00:27:5e:38:76) 
Client hardware address padding: 00000000000000000000 
Server host name not given 
Boot file name not given 
Magic cookie: (0K) 
» option: (t=53,l=1) DHCP Message Type = DHCP ACK 
b Option: (t=54,1=4) DHCP Server Identifier = 192.168.1.200 
» Option: (t=51,1=4) IP Address Lease Time = 6 hours 
» Option: (t=81,1=24) Client Fully Qualified Domain Name 
Pb Option: (t=1,1=4) Subnet Mask = 255.255.255.0 
b Option: (t=15,1=15) Domain Name = "classdemo.local” 
) : (t=3,1=4) Router = 192.168.1.1 
» Option: (t=6,1=4) Domain Name Server = 192.168.1.1 
End Option | 
VI2ZV 38 Ul C8 33 V4 DU VU 54 bU 51 18 V3 02 02 77 32  ...3...1 V....wW2 A 
0130 30 30 33 2e 63 6c 61 73 73 64 65 6d 6f 2e 6c 6f  003.clas sdemo.lo 
0140 63 61 6c 01 04 ff ff ff 00 0f 0f 63 6c 6173 73 cal..... ... class 
0150 64 65 6d 6f 2e 6c 6f 63 61 6c demo. loc a 1 
0160 06 04 coag 000 ff o OC eee. [] 


O Text item (), 6 bytes - Packets: 42437 Displayed: 93 Marked: 0 - Profile: Default 


Cînd această procedură se termină, atunci clientului îi este permis să 
folosească acea configurație ip pînă la terminarea timpului închirierii. 


12.2. descriere dhcp 


Aici avem o mică rețea cu două servere dhcp denumite DHCP-SRVI şi DHCP-SRV2 şi 
doi clienți (SunwS1 şi Mac42). Toate computerele sînt conectate de un hub sau 
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swich (desenat în mijloc). Toate cele patru computere au un cablu la hub 
(cablurile nu sînt desenate). 


DHCP-SRVI 
192.168.1.200 
scope 192.168.1.20-199 


SUNWSI 
192.168.1.20 


DHCP-SRV2 
192.168.1.201 
scope 192.168.1.220-249 


Mac42 
192.168.1.21 


1. Clientul SunwWS1 trimite o descoperire dhcp pe rețea. Toate computerele 
primesc aceast broadcast. 


2. Ambele servere dhcp răspund cu o ofertă dhcp. DHCP-SRV1 este un server dhcp 
dedicat şi e mai rapid în trimiterea unei oferte dhcp decît DHCP-SRV2 (care se 
întîmplă să fie de asemeni un server fişier). 

3. Clientul alege oferta de la DHCP-SRVI şi trimite o cerere dhcp pe reţea. 

4. DHCP-SRVI răspunde cu un dhcp ack (acronim pentru acknowledge - recunoaştere) 
Toate cele patru (sau cinci dacă numărăm ambele oferte) pot fi broadcast layer 2 
ethernet la adresa mac ff:ff:ff:ff:ff:ff şi un layer 3 broadcast ip la 
255,255.255,255, 


Acelaşi lucru poate fi citit în rfc 2131, 
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13.3. instalare server dhcp 


Server dhcp pentru Debian/Mint. 


debian5:-t aptitude install dhcp3-server 


Reading package lists... Done 
Building dependency tree 

Reading state information... Done 
Reading extended state information 
Initializing package states... Done 
Reading task descriptions... Done 


The following NEW packages will be installed: 
dhecp3-server 


Obțineţi un fişier de configurare cu multe exemple. 


debian5:-4 Is -1l /etc/dhcp3/dhepd.conf 
-rw-r--r-- 1 root root 3551 2011-04-10 21:23 /etc/dhecp3/dhcpd.conf 


12.4. server dhcp pe RHEL/Centos 


Instalarea e uşoară cu yum. 


[rooterhel71 =] yum install dhcp 

Loaded plugins: product-id, subscription-manager 

Resolving Dependencies 

--> Running transaction check 

---> Package dhcp.x86_64 12:4.2.5-36.el7 will be installed 
--> Finished Dependency Resolution 

Dependencies Resolved 


Package Arch Version Repository Size 
Installing: 
dhcp x86_64 12:4.2.5-36.e17 rhel-7-server-rpms 510 k 


Transaction Summary 


Install 1 Package 


Total download size: 510 k 

Installed size: 1.4 M 

Is this ok [y/d/N]: y 

Downloading packages: 

dhecp-4.2.5-36.e17.x86_64.rpm | 510 kB 00:01 
Running transaction check 

Running transaction test 

Transaction test succeeded 

Running transaction 


Installing : 12:dhcp-4.2.5-36.e17.x86_64 1/1 
Verifying : 12:dhcp-4.2.5-36.e17.x86_64 1/1 
Installed: 


dhcp.x86_64 12:4.2.5-36.e17 


Complete! 
[rooterhel71 -]t 


151 


După instalare obținem un fişier /etc/dhcp/dhcpd.conf care ne trimite la un 
fişier exemplu numit dhcpd.conf.sample. 


[rooterhel71 -]t cat /etc/dhecp/dhepd.conf 


i 
4 DHCP Server Configuration file. 

4 see /usr/share/doc/dhecpx/dhepd.conf.example 
i see dhcpd.conf(5) man page 

i 

L 


rootârhel71 -]|% 


Aşa că copiem exemplul şi îl ajustăm pentru situația noastră reală. Redenumim 
copia /etc/dhcp/dhcpd. conf. 


[rooterhelri -]t cp /usr/share/doc/dhecp-4.2.5/dhcpd.conf.example /etc/dhcp/dhepi 
d.conf 

[rooterhel71 -]t vi /etc/dhcp/dhepd.conf 

[rooterhel71 -]t cat /etc/dhecp/dhepd.conf 

option domain-name "linux-training.be"; 

option domain-name-servers 10.42.42.42; 

default-lease-time 600; 

max-lease-time 7200; 

log-facility local”; 


subnet 10.42.0.0 netmask 255.255.0.0 4 
range 10.42.200.11 10.42.200.120; 
option routers 10.42.200.1; 


) 
[rootârhel71 -]% 


Opţiunea “'routers' este validă doar pentru subnet, şi astfel opțiunea “domain 
name” este globală (pentru toate subnet-urile). 


E timpul să dăm start serverului. Amintiţți-vă să folosiți systemctl start dhcpd 
pe RHEL7/CentoOS şi service dhcpd start pe versiunile anterioare a RHEL/Centos. 


[rooterhel71 =] systemcti start dhepd 
[rootârhel71 -]% 


12.5. rezervări client 


Puteți rezerva o configurare ip pentru un client folosind adresa mac. 


host pc42 ( 

hardware ethernet 11:22:33:44:55:66; 
fixed-address 192.168.42.42; 

E, 


Puteți adăuga opțiuni individuale la această rezervare. 


host pc42 

hardware ethernet 11:22:33:44:55:66; 
fixed-address 192.168.42.42; 

option domain-name "linux-training.be"; 
option routers 192.168.42.1; 

) 
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12.6. exemplu de fişiere configurare 


Mai jos vedeți cîteva secțiuni din /etc/dhcp/dhep.conf pe un server Debian 6. 


i NetSec Antwerp Network 
subnet 192.168.1.0 netmask 255.255.255.0 
range 192.168.1.20 192.168.1.199; 

option domain-name-servers nsl.netsec. local; 
option domain-name "netsec.local"; 

option routers 192.168.1.1; 

option broadcast-address 192.168.1.255; 
default-lease-time 7200; 

max-lease-time 7200; 


) 


Mai sus este configurarea generală pentru reţea, cu o rezervă de 180 de adrese. 
Mai jos sînt rezervările a doi clienţi: 
ii 


+ laptops 
ii 


host mac 1 
hardware ethernet 00:26:bb:xx:xx:xx; 
fixed-address mac.netsec. local; 


) 


host vmac 7 
hardware ethernet 8ac:7b:9d:xx:xx:xx; 
fixed-address vmac.netsec.local,; 


) 


12.7. exemplu de fişier configurare mai vechi 


Pentru dhcp.conf pe Fedora cu actualizări dinamice pentru un domeniu DNS. 
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[rootefedoral4 -]+ cat /etc/dhecp/dhepd.conf 
authoritative; 
include "/etc/rndc.key"; 


log-facility local6; 


server-identifier fedoral4; 
ddns-domainname "office. linux-training.be"; 
ddns-update-style interim; 

ddns-updates on; 

update-static-leases on; 


option domain-name "office.linux-training.be"; 
option domain-name-servers 192.168.42.100; 
option ip-forwarding off; 


default-lease-time 1800; 
max-lease-time 3600; 


zone office. linux-training.be î 
primary 192.168.42.100; 
) 


subnet 192.168.4.0 netmask 255.255.255.0 £ 
range  192.168.4.24 192.168.4.40; 
E, 


Permiterea oricărei actualizări în zona bază de date (parte a configurării 
named.conf). 


zone "'office.linux-training.be" 4 

type master; 

file "/var/named/db.office.linux-training.be"; 
allow-transfer ( any; |; 

allow-update î[ any; |; 

); 


Permiterea cheilor sigure de actualizări în zona bază de date (parte a confi- 
gurării named.conf). 


zone "'office.linux-training.be" î 

type master; 

file "/var/named/db.office.linux-training.be"; 
allow-transfer î any; |; 

allow-update [ key mykey; |; 

); 


Exemplu de conținut a fişierului cheie. 


[rootefedoral4 -]+ cat /etc/rndc.key 
key "'rndc-key" î 

algorithm hmac-md5; 

secret "4Ykd58uLeur3Vve6adilgqTfQ=="; 
); 


Generați propriile chei cu dnssec-keygen. 
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Cum să includem o cheie într-un fişier de configurare: 
include "/etc/bind/rndc.key"; 


De asemeni fiți siguri că bind poate scrie în fişierul db.zone (folosind 
chmod/chown). În Ubuntu asta poate fi în /etc/bind, în Fedora /var/named. 


12.8. dhcp avansat 
12.8.1. regula 80/20 


Serverele DHCP nu ar trebui să aibă nici un punct de eşec. Să discutăm setările 
serverelor dhcp redundante. 


12.8.2. agent retransmisie 


Pentru a evita să punem un server dhcp pe fiecare segment, putem folosi agenți 
retransmisie dhcp. 


12.8.3. servere dhcp potlogare 

Serverele dhcp potlogare sînt o problemă fără o soluție. De exemplu o conexiune 
accidentală a unui (crezut a fi simplu) hub/switch la o reţea cu un server dhcp 
intern. 


12.8.4. dhcp şi ddns 


DHCP poate în mod dinamic să actualizeze DNS cînd el configurează un computer 
client. DDNS poate fi folosit cu sau fără chei sigure. 


Cînd sunt setate în mod corespunzător înregistrările pot fi adăugate automat în 
fişierul zonă: 


rootefedoral4-t tail -2 /var/named/db.office.linux-training.be 


ubulO10srv A 192.168.42.151 
TXT  "00dfbb1l5e144a273c3cf2d6ae933885782" 
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12.9. practică: dhcp 


1. Asiguraţi-vă că aveţi o adresă ip fixă unică pentru serverele DNS şi DHCP (e 
mai uşor pe aceeaşi maşină). 


2. Instalaţi DHCP şi navigați în explicarea fişierului de configurare default 
/etc/dhcp/dhecpd.conf sau /etc/dhcp3/dhcpd.conf. 


3. Decideţi asupra unui valid scope şi activaţi-l. 
4. Testați cu un client dacă serverul DHCP funcționează. 


5. Folosiţi wireshark pentru a captura cele patru broadcast-uri cînd un client 
primeşte un ip (pentru prima dată). 


6. Folosiţi wireshark pentru a captura DHCPNAK şi un DHCP release. 

7. Rezervații o configurare pentru un client particular (folosind adresa mac). 
8. Configurați serverele DHCP/DNS cu un hostname şi domaine name corespunzător 
(/etc/hosts, /etc/hostname, /etc/sysconfig/network pe Fedora/RHEL, / 
etc/resolv.conf .. ). Aţi putea avea nevoie să dezactivați NetworkManager pe 


desktopurile *buntu. 


9. Asiguraţi-vă că serverul DNS funcționează în continuare, şi că este master 
deasupra a (cel puțin) un domeniu. 


Există mai multe modalități de a rezolva paşii 10-11-12. Google este prietenul 
în explorare cu chei DDNS, cu fişiere-chei sau fără chei. 


10. Configuraţi serverul DNS pentru a permite update-uri dinamice de la serverul 
DHCP. 


11. Configurați serverul DHCP pentru a trimite update-uri dinamice serverului 
DNS. 


12. Testați funcționarea Dynamic DNS. 
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Partea V. firewall iptables 
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Capitolul 13. introducere la rutere 


Ceea ce urmează este o foarte scurtă introducere la utilizarea Linux ca un 
ruter. 


13.1. ruter sau firewall 


Un ruter este un dispozitiv care conectează două rețele. Un firewall este un 
dispozitiv care în afară că acționează ca un ruter, de asemeni conține (şi 
implementează) reguli pentru a determina dacă pachetelelor le este permis să se 
transfere dintr-o rețea în alta. Un firewall poate fi configurat să blocheze 
accesul bazîndu-se pe reţele, nume de maşini, protocoluri şi porturi. Firewall- 
urile pot de asemeni să schimbe conținutul pachetelor în timp ce le trimit. 


router or 
firewall ? 


13.2. expediere pachet 


packet forwarding (expedierea pachetelor) înseamnă permiterea ca pachetele să se 
transfere dintr-o rețea în alta. Cînd o gazdă cu mai multe computere acasă este 
conectată la două rețele diferite, şi permite pachetelor să se transmită dintr-o 
rețea în alta prin cele două interfeţe de reţea, se numeşte că are activată 
expedierea pachetului (packet forwarding). 


13.3. filtrare pachet 


filtrarea pachetului (packet filtering) este foarte similară cu expedierea 
pachetului, dar fiecare pachet este individual testat împotriva regulilor care 
decid permiterea sau „aruncarea” pachetului. Regulile sînt stocate în iptables. 


13.4. stateful 


Un firewall declarat (stateful) este o avansare deasupra firewall-urilor fără 
declarație, care inspectează fiecare pachet individual. Un firewall declarat va 
păstra un tabel a conexiunilor active, şi ştie îndeajuns să recunoască cînd noi 
conexiuni sînt parte a sesiunii active. Linux iptables este un firewall declarat 
(stateful). 


13.5. nat (network address translation) (translarea adresei network) 


Un dispozitiv nat este un ruter care schimbă şi sursa şi/sau ținta adresei ip în 
pachete. Este în mod tipic utilizat pentru a conecta mai multe computere într-o 
rază de acțiune adresă privată (rfc 1918) cu internet (public). Un nat poate 
ascunde adresele private din internet. 


Este important de înțeles că oamenii şi vînzătorii nu folosesc întotdeauna 


termenul potrivit cînd fac referiri la un anumit tip de nat. Asiguraţi-vă că 
vorbiți despre acelaşi lucru. Putem distinge mai multe tipuri de nat. 
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13.6. pat (port address translation) (translarea adresei port) 

nat deseori include pat. Un dispozitiv pat este un ruter care de asemeni schimbă 
sursa şi/sau ţinta port tcp/udp în pachete. pat este o terminologie Cisco şi 
este folosită de snat, dnat, masquerading şi expeditor port (port forwarding) în 
Linux. RFC 3022 o denumeşte NAPT şi defineşte combinația nat/pat "nat 
tradițional". Un dispozitiv vîndut ca dispozitiv nat va fi probabil şi nat şi 
pat. 

13.7. snat (sursă nat) 


Un dispozitiv snat schimbă sursa adresei ip cînd un pachet trece prin nat. 
Configurarea snat cu iptables include o adresă sursă țintă fixă. 


13.8. masquerading 

masquerading (mascarea) este o formă de snat care va ascunde sursa (privată) 
adreselor ip din rețeaua privată folosind o adresă ip publică. Mascarea este 
comună pe interfețele internet dinamice (modemuri/rutere broadband). 
Configurația mascării cu iptables foloseşte o adresă sursă țintă dinamică. 
13.9. dnat (destinaţie nat) 

Un dispozitiv dnat schimbă destinaţia adresei ip cînd un pachet trece prin nat. 
13.10. expediere port (port forwarding) 

Cînd dnat static este setat într-o modalitate care permite conexiuni din afară 
să intre în rețeaua noastră privată, atunci numim asta expediere port (port 
forwarding) . 

13.11. /proc/sys/net/ipv4/ip_ forward 

Dacă un nume de maşină face expedierea pachetelor, acest lucru este definit în 


/proc/sys/net/ipv4/ip_forward. Următoarea captură de ecran arată cum să activăm 
expedierea pachet (packet forwarding) pe Linux. 


rooterouter-t echo 1 > /proc/sys/net/ipv4/ip_forward 


Următoarea comandă arată cum să dezactivăm expedierea pachet (packet 
forwarding). 


rooterouter-t echo 0 > /proc/sys/net/ipv4/ip_forward 

Folosiţi cat pentru a verifica dacă expedierea pachet este activată. 
rootârouter-t cat /proc/sys/net/ipv4/ip_forward 

13.12. /etc/sysctl.conf 

Prin default, cele mai multe computere Linux nu sînt configurate pentru 
expediere automată pachet. Pentru a autoriza expedierea pachet oricând intrăm pe 
sistem, schimbaţi variabila net.ipv4.ip forward în /etc/sysctl.conf la valoarea 


1, 


rooterouter-t grep ip_forward /etc/sysctl.conf 
net.ipv4.ip_forward = 0 


13.13. sysctl 


Pentru mai multe informații, priviţi la pagina de manual sysctl. 
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rootâdebian6-t man sysctl 
rootedebian6-t sysctl -a 2>/dev/null | grep ip_forward 
net.ipv4.ip_forward = 0 
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13.14. practică: expediere pachet 


0. Aveţi opțiunea de a selecta (sau crea) o reţea internă cînd adăugați o placă 
de rețea în VirtualBox sau VMWare. Folosiţi această opţiune pentru a crea două 
rețele interne. Le-am denumit leftnet și rightnet, dar puteți alege orice alt 
nume. 


a? Network 


Adapter 1: Intel PRO/1000 MT Desktop (Bridged Adapter, enl: AirPort) 
Adapter 2: Intel PRO/1000 MT Desktop (Internal Network, 'leftnet') 
Adapter 3: Intel PRO/1000 MT Desktop (Internal Network, 'rightnet') 


1. Setați două maşini Linux, una pe leftnet, cealaltă pe rightnet. Asiguraţi-vă 
că ambele obțin o adresă ip în subnetul corect. Aceste două maşini vor fi 'left! 
şi 'right! de la 'ruter'. 


router 


—.. ȘT 
— 


9 a 10.0.70.9 
10.0.60.1 


2. Setați un al treilea computer Linux cu trei plăci network, una pe leftnet, 
cealaltă pe rightnet. Acest computer va fi 'ruter-ul!'. Completaţi tabelul de mai 
jos cu numele corespunzătoare, adresele ip şi adresele mac. 


Tabel 13.1. exercițiu expeditor pachet 
computer leftnet | ruter-ul | computer rightnet 


MAC 
| 


3. Cum puteţi verifica dacă ruter-ul va permite expedierea pachet prin default 
sau nu? Testaţți că puteţi face ping de la ruter către celelalte două maşini, şi 
de la acele două maşini către ruter. Folosiţi arp -a pentru a fi siguri că 
sînteți conectat cu adresa mac corectă. 


IP 


4. Faceți ping de la computerul leftnet la computerul rightnet. Activaţi sau/şi 
dezactivați expedierea pachet pe ruter şi verificaţi ce se întîmplă cu pingul 
între cele două reţele. Dacă nu reuşiți să faceți ping între cele două reţele 
(pe subneturi diferite), atunci folosiţi un interceptor ca wireshark sau tcpdump 
pentru a descoperi problema. 

5. Folosiţi wireshark sau tcpdump -xx pentru a răspunde următoarelor întrebări. 
Sursa MAC se schimbă cînd un pachet trece prin filtru? Şi MAC-ul destinație? Ce 
e cu sursa şi destinația adreselor ip? 
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6. Vă amintiți de a treia placă de rețea de pe ruter? Conectaţi această placă de 
rețea cu un LAN cu conexiune internet. Comanda dhclient etho funcționează pe mai 
multe LAN-uri (înlocuiți etho cu interfața corectă). 


rootQrouter-+ dhclient etho 


Aveţi acum o setare similară cu acest desen. Ce trebuie să fie făcut să dăm 
acces internet leftnet şi rightnet? 


router 


PP e, 10.0.70.9 
10.0.60.1 
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13.15. soluție: expediere pachet 


a? Network 


Adapter 1: Intel PRO/1000 MT Desktop (Bridged Adapter, enl: AirPort) 
Adapter 2: Intel PRO/1000 MT Desktop (Internal Network, 'leftnet”) 
Adapter 3: Intel PRO/1000 MT Desktop (Internal Network, 'rightnet') 


1. Setați două maşini Linux, una pe leftnet, cealaltă pe rightnet. Asiguraţi-vă 
că ambele obțin o adresă ip în subnetul corect. Aceste două maşini vor fi 'left! 
şi 'right! de la 'ruter'. 


router 


. ȘT 
. 


4 e, 10.0.70.9 
10.0.60.1 


Configuraţia ip pe computere ar trebui să fie similară cu următoarele două 
capturi de ecran. Ambele maşini trebuie să fie într-un subnet diferit (aici 
192.168.60.0/24 şi 192.168.70.0/24). Am creat un mic script pe ambele maşini 
pentru a configura interfețele. 


rootâleft-4+ cat leftnet.sh 
pkill dhclient 
ifconfig etho 192.168.60.8 netmask 255.255.255.0 


rootâright-t cat rightnet.sh 
pkill dhclient 
ifconfig etho 192.168.70.9 netmask 255.255.255.0 


2. Setați un al treilea computer Linux cu trei plăci network, una pe leftnet, 
cealaltă pe rightnet. Acest computer va fi 'ruter-ul'. Completaţi tabelul de mai 
jos cu numele corespunzătoare, adresele ip şi adresele mac. 


rootârouter-t cat router.sh 

ifconfig ethl 192.168.60.1 netmask 255.255.255.0 
ifconfig eth2 192.168.70.1 netmask 255.255.255.0 
techo 1 > /proc/sys/net/ipv4/ip_forward 


Setarea voastră poate folosi adrese ip şi mac altele decît cele din tabelul de 
mai jos. 


Tabelul 14.2. soluție expediere pachet 


leftnet computer ruter rightnet computer 
08:00:27:f6:ab:b9 08:00:27:43:1f:5a 08:00:27:;be:4a:6b 08:00:27:14:8b:17 
192.168.60.8 192.168.60.1 192.168.70.1 192.168.70.9 
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3. Cum puteţi verifica dacă ruter-ul va permite expedierea pachet prin default 
sau nu? Testaţți că puteţi face ping de la ruter către celelalte două maşini, şi 
de la acele două maşini către ruter. Folosiţi arp -a pentru a fi siguri că 
sînteți conectat cu adresa mac corectă. 


Asta poate fi făcut cu "grep ip_forward /etc/sysctl.conf" (1 este activat, 0 
este dezactivat) sau cu sysctl -a | grep ip_for. 


rooterouter-t grep ip_for /etc/sysctl.conf 

net.ipv4.ip_forward = 0 

4. Faceți ping de la computerul leftnet la computerul rightnet. Activaţi sau/şi 
dezactivați expedierea pachet pe ruter şi verificaţi ce se întîmplă cu ping-ul 
între cele două reţele. Dacă nu reuşiți să faceți ping între cele două reţele 


(pe subneturi diferite), atunci folosiţi un interceptor ca wireshark sau tcpdump 
pentru a descoperi problema. 


Aţi uitat să adăugaţi un default gateway la maşinile LAN? Folosiţi route add 
default gw 'ip-address!. 


rootâleft-t route add default gw 192.168.60.1 
rooteright-t route add default gw 192.168.70.1 


Ar trebui să fiţi capabili să faceţi ping cînd expedierea pachet este activată 
(şi ambele gateways default sînt configurate corect). Ping nu va funcţiona cînd 
destinaţia pachet este dezactivată sau cînd gateways-urile nu sînt configurate 
corect. 


5. Folosiţi wireshark sau tcpdump -xx pentru a răspunde următoarelor întrebări. 


Sursa MAC se schimbă cînd un pachet trece prin filtru? Şi MAC-ul destinație? Ce 
e cu sursa şi destinația adreselor ip? 


Ambele adrese MAC sînt schimbate cînd trec prin ruter. Folosiţi tcpdump -xx aşa: 
rooterouter-t tcpdump -xx -i ethl 
rootârouter-t tcpdump -xx -i eth2 
6. Vă amintiți de a treia placă de rețea de pe ruter? Conectaţi această placă de 
rețea la un LAN cu conexiune internet. Comanda dhclient etho funcționează pe mai 


multe LAN-uri (înlocuiți etho cu interfața corectă). 


rootârouter-t dhclient etho 


Aveţi acum o setare similară cu acest desen. Ce trebuie să fie făcut să dăm 
acces internet leftnet şi rightnet? 
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router 


i dn 


10.0.70.9 


Clienţii de pe leftnet şi rightnet au nevoie de un server dns care funcţionează. 
Folosim unul din serverele dns Google aici. 


echo nameserver 8.8.8.8 > /etc/resolv.conf 


166 


Capitolul 14. iptables firewall 


Acest capitol introduce unele reguli simple firewall şi cum să le configurați cu 
iptables. 


iptables este o aplicație care permite unui utilizator să configureze 
funcționalitatea firewall construită în kernel-ul Linux. 


14.1. tabele iptables 
Prin default există trei tabele în kernel care conțin seturi de reguli. 
tabelul filtru este folosit pentru filtrarea pachetelor. 


rootedebian6-t iptables -t filter -L 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


tabelul nat este folosit pentru translarea adresei. 


rootedebian6-t iptables -t nat -L 


Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 


target prot opt source destination 
Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


mangle table (tabelul amestecat) poate fi folosit pentru scopuri speciale de 
procesare a pachetelor. 


Serii de reguli în fiecare tabel sînt denumite un chain (lanț). Vom discuta 
chains şi tabelul nat mai tîrziu în acest capitol. 


14.2. start şi stop iptables 


Următoarea captură de ecran arată cun să oprim şi să pornim iptables pe Red 
Hat/Fedora/CentoOS şi distribuțiile compatibile. 


[rootecentos6 =]t service iptables stop 
[rootecentos6 =] service iptables start 
iptables: Applying firewall rules 

[rootecentos6 =] [ok ] 


Debian şi distribuțiile *buntu nu au acest script, dar permit o dezinstalare. 


rootâdebian6-t aptitude purge iptables 
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14.3. tabelul filtru 
14.3.1. despre pachete filtrate 


filtrarea pachetelor este ceva mai mult decît expedierea pachetelor. în timp ce 
expedierea pachetelor foloseşte doar un tabel rutare pentru a face decizii, 
filtrarea pachetelor foloseşte şi o listă de reguli. Kernel-ul va inspecta 
pachetele şi va decide bazîndu-se pe aceste reguli ce să facă cu fiecare pachet. 


14.3.2. tabel filtru 


Tabelul filtru în iptables are trei lanțuri (seturi de reguli). Lanțul INPUT 
este folosit pentru orice pachet care intră în sistem. Lanțul OUTPUT este pentru 
orice pachet care pleacă din sistem. Şi lanțul FORWARD este pentru pachete care 
trec (sînt rutate) prin sistem. 


kernel 


Co > = 


Captura de ecran de mai jos arată cum să listăm tabelul filtru şi toate regulile 
lui. 


[rootQRHEL5 =]4 iptables -t filter -nL 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
[rootQRHEL5 =]4 


Precum puteţi vedea, toate cele trei lanțuri în tabelul filtru sînt setate la 
ACCEPT orice. ACCEPT este comportarea default. 


14.3.3. setarea regulilor default 


Default pentru regula default este într-adevăr ACCEPT orice. Acesta nu este cel 
mai securizat firewall. 


O setare mai securizată ar fi DROP orice. Un pachet care este dropped (aruncat) 
nu va continua în nici un lanț, şi nici o avertizare sau eroare nu va fi trimisă 
nicăieri. 
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Comenzile de mai jos blochează un computer. Nu executați aceste comenzi 
înăuntrul unui shell ssh remote. 


rootedebianpaul-t iptables -P INPUT DROP 
rootedebianpaul-t iptables -P OUTPUT DROP 
rootedebianpaul-t iptables -P FORWARD DROP 
rootedebianpaul-t iptables -L 

Chain INPUT (policy DROP) 


target prot opt source destination 
Chain FORWARD (policy DROP) 
target prot opt source destination 


Chain OUTPUT (policy DROP) 
target prot opt source destination 


14.3.4. schimbarea regulilor politică 


Pentru a începe, haideţi să setăm politica default pentru toate cele trei 
lanțuri să arunce orice. Notaţi că s-ar putea să vă pierdeţi conexiunea cînd 
tastați asta în ssh ;-). 


[rootQRHEL5 =] iptables -P INPUT DROP 
[rootQeRHEL5 -]4 iptables -P FORWARD DROP 
[rooteRHEL5 -]4 iptables -P OUTPUT DROP 


Apoi, permitem serverului să-şi folosească propriul lui dispozitiv loopback 
(asta permite serverului să-şi acceseze serviciile rulînd pe localhost). Mai 
întîi adăugăm regula lanțului INPUT să permită (ACCEPT) trafic de la interfața 
lo (loopback), apoi facem acelaşi lucru pentru a permite pachetelor să 
părăsească sistemul prin interfața loopback. 


[rootQeRHEL5 -]4 iptables -A INPUT -i lo -j ACCEPT 
[rootQeRHEL5 -]4 iptables -A OUTPUT -o lo -j ACCEPT 


Ne uităm la tabelul filtru din nou (omițînd filtrul -t pentru că el este tabelul 
default). 


[rooteRHEL5 -]4 iptables -nL 

Chain INPUT (policy DROP) 

target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 


Chain FORWARD (policy DROP) 
target prot opt source destination 


Chain OUTPUT (policy DROP) 
target prot opt source destination 
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 


14.3.5. permitere ssh deasupra etho 


Acest exemplu arată cum să adăugaţi două reguli pentru a permite acces ssh la 
sistem din afară. 


[rootQRHEL5 -]+ iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
[rooteRHEL5 -]+ iptables -A OUTPUT -o etho -p tcp --sport 22 -j ACCEPT 
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Tabelul filtru va arăta cam la fel cu această captură de ecran (notaţi că -v 


este adăugat pentru o ieşire cu mai multe date). 
[rooteRHEL5-]+ iptables -nvL 


Chain INPUT (policy DROP 7 packets, 609 bytes) 


pkts bytes target prot opt in out source 
(0) (0) ACCEPT all -- Lo x 0.0.0.0/0 
(0) (0) ACCEPT tcp -- etho x 0.0.0.0/0 


Chain FORWARD (policy DROP 0 packets, 0 bytes) 
pkts bytes target prot opt in out source 


Chain OUTPUT (policy DROP 3 packets, 228 bytes) 


pkts bytes target prot opt in out source 
0) O ACCEPT all -—-- x lo 0.0.0.0/0 
0) O ACCEPT tcp —- x etho 0.0.0.0/0 


[rootQRHEL5 =-]% 


14.3.6. permiterea accesului dintr-un subnet 


destination 
0.0.0.0/0 
0.0.0.0/0 tcp dpt:22 


destination 


destination 
0.0.0.0/0 
0.0.0.0/0 tcp spt:22 


Acest exemplu arată cum să permitem accesul oricărui computer în rețeaua 
10.1.1.0/24, dar doar prin eth1. Nu există o limitare port (aplicaţie) aici. 


[rooteRHEL5 -]+ iptables -A INPUT -i eth1l -s 10.1.1.0/24 -p tcp -j ACCEPT 
[rooteRHEL5 -]4+ iptables -A OUTPUT -o eth1l -d 10.1.1.0/24 -p tcp -j ACCEPT 


împreună cu exemplele de mai înainte, politica se măreşte. 


[rooteRHEL5-]+ iptables -nvL 
Chain INPUT (policy DROP 7 packets, 609 bytes) 


pkts bytes target prot opt in out source 

0) O ACCEPT all -- lo x 0.0.0.0/0 

0) 0 ACCEPT tcp —- etho x 0.0.0.0/0 

0) O ACCEPT tcp -- ethl x 10.1.1.0/24 


Chain FORWARD (policy DROP 0 packets, 0 bytes) 
pkts bytes target prot opt în out source 


Chain OUTPUT (policy DROP 3 packets, 228 bytes) 


pkts bytes target prot opt în out source 
0) O ACCEPT all -- «* lo 0.0.0.0/0 
0) O ACCEPT tcp —-- x etho  0.0.0.0/0 


0) O ACCEPT tcp —- «* ethl 0.0.0.0/0 


14.3.7. iptables save 


destination 
0.0.0.0/0 

0.0.0.0/0 tcp dpt:22 
0.0.0.0/0 


destination 


destination 
0.0.0.0/0 

0.0.0.0/0 tcp spt:22 
10.1.1.0/24 


Folosiţi iptables save pentru a implementa automatic aceste reguli cînd 


firewall-ul este (rejstartat. 
[rooteRHEL5 -]+ /etc/init.d/iptables save 


Saving firewall rules to /etc/sysconfig/iptables: 
[rootQRHEL5 =-]% 
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14.3.8. script exemplu 


Puteți scrie un script simplu pentru aceste reguli. Mai jos este un script 
exemplu care implementează regulile firewall pe care le-aţi văzut înainte în 


acest capitol. 


4! /bin/bash 
+ mai întîi 


curăţaţi tot 


iptables -t filter -F 
iptables -t filter -X 
iptables -t nat -F 
iptables -t nat -X 

+ drop default 

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 


+ permitere 
iptables -A 
iptables -A 


dispozitiv loopback 
INPUT -i lo -j ACCEPT 
OUTPUT -o lo -j ACCEPT 


+ permitere 
iptables -A 
iptables -A 


ssh deasupra etho din afară la sistem 
INPUT -i etho -p tcp --dport 22 -j ACCEPT 
OUTPUT -o etho -p tcp --sport 22 -j ACCEPT 


+ permitere 
iptables -A 
iptables -A 


orice trafic de la 10.1.1.0/24 la sistem 
INPUT -i ethl -s 10.1.1.0/24 -p tcp -j ACCEPT 
OUTPUT -o eth1 -d 10.1.1.0/24 -p tcp -j ACCEPT 


14.3.9. permitere ICMP (ping) 


Cînd autorizați iptables, veți primi un mesaj 
încercați să faceți ping altui nume de maşină. 


"Operation not permitted' cînd 


[rootQRHEL5 =+ ping 192.168.187.130 

PING 192.168.187.130 (192.168.187.130) 56(84) 
ping: sendmsg: Operation not permitted 

ping: sendmsg: Operation not permitted 


bytes of data. 


Captura de ecran de mai jos arată cum să setați iptables pentru a permite un 
ping de la sau la maşină. 


[rooteRHEL5 -]+ iptables -A INPUT -p îcmp --icmp-type any -j ACCEPT 

[rooteRHEL5 -]+ iptables -A OUTPUT -p icmp --icmp-type any -j ACCEPT 

Cele două linii de mai sus nu permit altor computere să ruteze mesaje ping prin 
ruter, deoarece are grijă doar de INPUT şi OUTPUT. Pentru rutarea ping, va 


trebui să o autorizați în lanțul FORWARD. Următoarea comandă autorizează rutarea 
mesajelor icmp între rețele. 


[rootQRHEL5 -]+ iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT 


171 


14.4. practică: filtrare pachet 

1. Asiguraţi-vă că puteți intra ssh în sistemul-ruter cînd iptables este activ. 
2. Asiguraţi-vă că puteți face ping sistemului-ruter cînd iptables este activ. 
3. Definiţi una dintre reţele ca 'internă!' şi alta ca 'externă'. Configuraţi 
ruter-ul să permită vizite la un website (http) să meargă de la rețeaua internă 


la reţeaua externă (dar nu în direcție inversă). 


4. Asiguraţi-vă că rețeaua internă poate avea legătură ssh cu cea externă, dar 
nu invers. 
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14.5. soluție: filtrare pachet 


O soluție posibilă, unde leftnet este rețeaua internă şi rightnet este cea 
externă. 


4! /bin/bash 

+ mai întîi curăţaţi tot 
iptables -t filter -F 
iptables -t filter -X 
iptables -t nat -F 
iptables -t nat -X 


+ default drop 

iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT DROP 


+ permitere dispozitiv loopback 
iptables -A INPUT -i lo -j ACCEPT 
iptables -A OUTPUT -o lo -j ACCEPT 


+ întrebarea 1: permitere ssh deasupra etho 
iptables -A INPUT -i etho -p tcp --dport 22 -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT 


4 întrebarea 2: permitere icmp (ping) oriunde 
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT 
iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT 
iptables -A OUTPUT -p icmp --icmp-type any -j ACCEPT 


4 întrebarea 3: permitere http din interior (leftnet) la exterior (rightnet) 
iptables -A FORWARD -i ethl -o eth2 -p tcp --dport 80 -j ACCEPT 
iptables -A FORWARD -i eth2 -o ethl -p tcp --sport 80 -j ACCEPT 


4 întrebarea 4: permitere ssh din interior (leftnet) la exterior (rightnet) 
iptables -A FORWARD -i ethl -o eth2 -p tcp --dport 22 -j ACCEPT 
iptables -A FORWARD -i eth2 -o ethl -p tcp --sport 22 -j ACCEPT 


+ permitere http din exterior (rightnet) la interior (leftnet) 
4 iptables -A FORWARD -i eth2 -o eth1l -p tcp --dport 80 -j ACCEPT 
4 iptables -A FORWARD -i ethl -o eth2 -p tcp --sport 80 -j ACCEPT 


+ permitere rpcinfo deasupra etho din afara sistemului 
iptables -A INPUT -i eth2 -p tcp --dport 111 -j ACCEPT 
4 iptables -A OUTPUT -o eth2 -p tcp --sport 111 -j ACCEPT 


=== 
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14.6. translarea adresei network (network address translation) 

14.6.1.despre NAT 

Un dispozitiv NAT este un ruter care de asemeni schimbă sursa şi/sau ţinta 
adresei ip în pachete. Este în mod tipic folosit pentru a conecta mai multe 
computere într-o rază de acțiune adresă privată cu internetul (public). Un NAT 
poate ascunde adresele private de pe internet. 

NAT a fost dezvoltat pentru a modera folosirea adresei ip reale, pentru a 
permite adreselor private să ajungă în internet şi înapoi, şi pentru a nu 
dezvălui detalii despre reţele interne către exterior. 

Tabelul NAT în iptables adaugă două noi lanțuri. PREROUTING permite alterarea 


pachetelor înainte ca ele să ajungă în lanțul INPUT. POSTROUTING permite 
alterarea pachetelor după ce ele ies din lanțul OUTPUT. 


DEE > Co > = UD 


ED | ED ED 


Folosiţi iptables -t nat -nvL pentru a privi la tablelul NAT. Screenshot-ul de 
mai jos arată un tabel NAT gol. 


[rooteRHEL5 -]4 iptables -t nat -nL 
Chain PREROUTING (policy ACCEPT) 
target prot opt source destination 


Chain POSTROUTING (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 
[rootQeRHEL5 =]4 


14.6.2. SNAT (Sursă NAT) 


Scopul Sursă NAT este să schimbe adresa sursă în interiorul unui pachet înainte 
de a pleca din sistem (de exemplu spre internet). Destinația va întoarce 
pachetul la un dispozitiv-NAT. Asta înseamnă că dispozitivul nostru NAT va 
trebui să țină un tabel în memorie a tuturor pachetelor pe care le schimbă, 
astfel încît să poată trimite pachetul sursei originale (de ex. în reţeaua 
privată). 


Pentru că în SNAT este vorba de pachete care pleacă din sistem, el foloseşte 
lanțul POSTROUTING. 


Aici este un exemplu de regulă SNAT. Regula spune că pachetele care vin de la 
rețeaua 10.1.1.0/24 şi ies prin eth1 vor lua adresa sursă ip setată la 
11.12.13.14 (Notaţți că acest exemplu este o singură linie de comandă!). 


iptables -t nat -A POSTROUTING -o eth1l -s 10.1.1.0/24 -j SNAT | 
--to-source 11.12.13.14 
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Desigur trebuie să existe o setare corectă a filtrului iptables pentru a permite 
pachetului să traverseze dintr-o reţea în alta. 


14.6.3. exemplu de setare SNAT 


Acest script exemplu foloseşte o setare nat tipică. Reţeaua internă (eth0) are 
acces prin SNAT la webservere (port 80) externe (eth1). 


4! /bin/bash 

ii 

4 iptables script for simple classic nat websurfing 

i etho is internal network, eth1l is internet 

ii 

echo 0 > /proc/sys/net/îipv4/ip_forward 

iptables -P INPUT ACCEPT 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD DROP 

iptables -A FORWARD -i etho -o ethl -s 10.1.1.0/24 -p tcp i 
--dport 80 -j ACCEPT 

iptables -A FORWARD -i ethl -o etho -d 10.1.1.0/24 -p tcpi 
--sport 80 -j ACCEPT 

iptables -t nat -A POSTROUTING -o ethl -s 10.1.1.0/24 -j SNAT A 
--to-source 11.12.13.14 

echo 1 > /proc/sys/net/îipv4/îip_forward 


14.6.4. mascare IP (IP masquerading) 


Mascarea IP (IP masquerading) este similară cu SNAT, dar este făcută pentru 
interfețele dinamice. Exemple tipice sînt 'ruterele/modemurile!' broadband 
conectate la internet care primesc o adresă ip diferită de la ofertantul de 
servicii internet, de fiecare dată cînd sînt butate. 


Singura schimbare necesară pentru a converti scriptul SNAT la masquerading este 
o linie. 


iptables -t nat -A POSTROUTING -o eth1 -s 10.1.1.0/24 -j MASQUERADE 
14.6.5. DNAT (Destinație NAT) 


DNAT este în mod tipic folosit pentru a permite pachetelor din internet să fie 
redirectate la un server intern (în DMZ) şi într-o rază de acțiune de adresă 
privată care este inaccesibilă direct din internet. 


Acest script exemplu permite utilizatorilor internet să ajungă la serverul 
nostru intern (192.168.1.99) prin ssh (port 22). 


+! /bin/bash 

ii 

4 iptables script for DNAT 

i etho is internal network, eth1l is internet 

ii 

echo 0 > /proc/sys/net/îipv4/ip_forward 

iptables -P INPUT ACCEPT 

iptables -P OUTPUT ACCEPT 

iptables -P FORWARD DROP 

iptables -A FORWARD -i etho -o eth1l -s 10.1.1.0/24 -j ACCEPT 
iptables -A FORWARD -i ethl -o etho -p tcp --dport 22 -j ACCEPT 
iptables -t nat -A PREROUTING -i ethl -p tcp --dport 22 | 
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-Jj DNAT --to-destination 10.1.1.99 
echo 1 > /proc/sys/net/îipv4/îip_forward 
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Partea VI. introducere în samba 
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Capitolul 15. introducere în samba 


Această introducere la serverul Samba explică simplu cum să instalăm Samba 3 şi 
menționează pe scurt protocolul SMB. 


15.1. verificarea versiunii instalate 
15.1.1. distribuții bazate pe .rpm 


Pentru a vedea versiunea samba instalată pe Red Hat, Fedora sau Centos folosiţi 
rpm -q samba. 


[rootQeRHEL52 =-]+ rpm -q samba 
samba-3.0.28-1.e15_2.1 


Screenshot-ul de mai sus arată că RHEL5 are instalată Samba versiunea 3.0. 
Ultimul număr în versiunea Samba semnifică numărul actualizărilor sau a patch- 
urilor. 


Mai jos este aceeaşi comandă pe o versiune mai recentă a Centos intalată cu 
versiunea Samba 3.5. 


[rootecentos6 =] rpm -q samba 
samba-3.5.10-116.e16_2.16836 


15.1.2. distribuții bazate pe .deb 


Folosiţi dpkg -l sau aptitude show pe Debian sau Ubuntu. Şi Debian 7.0 (wheezy) 
şi Ubuntu 12.04 (Precise) folosesc versiunea serverului Samba 3.6.3 


rootedebian7-t aptitude show samba | grep Version 
Version: 2:3.6.3-1 


Ubuntu 12.04 este în mod curent la versiunea Samba 3.6.3. 


rootâubul204:-4 dpkg -l samba | tail -1 
ii samba 2:3.6.3-2ubuntu2.1 SMB/CIFS file, print, and login server for Unix 


15.2. instalare samba 

15.2.1. distribuții bazate pe .rpm 

Samba este instalată prin default pe Red Hat Enterprise Linux. Dacă Samba nu 
este încă instalată, atunci puteți folosi meniul grafic (Applications -- System 
Settings --Add/Remove Applications) şi să selectaţi "Windows File Server" în 
secțiunea Server. Modalitatea non-grafică este să utilizați rpm sau yum. 

Cînd ați downloadat fişierul .rpm, puteți instala Samba astfel. 

[pauleRHEL52 =]$ rpm -i samba-3.0.28-1.e15_2.1.rpm 

Cînd aveți o subscriere la RHN (Red Hat Network), atunci yum este un utilitar 


uşor de folosit. Această comandă yum funcționează prin default pe Fedora şi 
Centos. 


[rootecentos6 =] yum install samba 
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15.2.2. distribuții bazate pe .deb 


Utilizatorii Ubuntu şi Debian pot folosi programul aptitude (sau să folosească 
un utilitar grafic ca Synaptic). 


rootedebian7-t aptitude install samba 

The following NEW packages will be installed: 

samba samba-common(a! samba-common-binţayY tdb-toolsfa! 

O packages upgraded, 4 newly installed, 0 to remove and 1 not upgraded. 
Need to get 15.1 MB of archives. After unpacking 42.9 MB will be used. 
Do you want to continue? [Y/n/?] 


15.3. documentaţie 


15.3.1. samba howto 


Samba vine cu documentație excelentă în format html şi pdf (şi de asemeni ca 
download gratuit de pe samba.org şi este de vînzare ca şi carte imprimată). 


Documentaţia este un pachet separat, aşa că instalaţți-o dacă o vreți pe server. 


[rootecentos6-|t yum install samba-doc 


[rootecentos6-]t Is -l /usr/share/doc/samba-doc-3.5.10/ 
total 10916 


drwxr-xr-x. 6 root root 4096 May 6 15:50 htmldocs 

-rw-r--r--. 1 root root 4605496 Jun 14 2011  Samba3-ByExample.pdf 
-rw-r--r--. 1 root root 608260 Jun 14 2011  Samba3-Developers-Guide.pdf 
-rw-r--r--. 1 root root 5954602 Jun 14 2011  Samba3-HOWTO.pdf 


Această acțiune este foarte asemănătoare pe Ubuntu şi Debian cu excepția 
faptului că fişierele pdf sînt într-un pachet separat numit samba-doc-pdf. 


rootQubul204:-t aptitude install samba-doc-pdf 
The following NEW packages will be installed: 
samba-doc-pdf 


15.3.2. samba prin exemple 

în afară de howto, există de asemeni o carte excelentă numită Samba By Example 
(din nou disponibilă ca ediție imprimată în magazine, şi ca pdf şi html 
gratuit). 


15.4. pornire şi oprire samba 


Puteți porni daemonii invocînd /etc/init.d/smb start (unele sisteme folosesc 
/etc/init.d/samba) pe orice linux. 
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rootelaika:-4 /etc/init.d/samba stop 


x Stopping Samba daemons [ OK ] 
rootalaika:-t /etc/init.d/samba start 

x Starting Samba daemons [OK |] 
rootâlaika:-t /etc/init.d/samba restart 

x Stopping Samba daemons [ OK ] 
x Starting Samba daemons [OK |] 
rootalaika:-t /etc/init.d/samba status 

x SMBD is running [ OK |] 


Sistemele derivate Red Hat sînt mulțumite cu service smb start. 


[rooteRHEL4b -]t /etc/init.d/smb start 


Starting SMB services: [OK |] 
Starting NMB services: [ OK |] 
[rootQRHEL4b -]4 service smb restart 

Shutting down SMB services: [ OK |] 
Shutting down NMB services: [ OK |] 
Starting SMB services: [ OK |] 
Starting NMB services: [OK |] 


[rootQRHEL4b -]+% 

15.5. daemoni samba 

Samba 3 conține trei daemoni, ei sînt numiți nmbd, smbd şi winbindd. 

15.5.1. nmbd 

Daemonul nmbd are grijă de toate numele şi denumirile. El înregistrează şi 
rezolvă nume, şi se ocupă cu navigarea. După documentația Samba, el ar trebui să 


fie primul daemon de pornit. 


[rootQRHEL52 -]+ ps -C nmbd 
PID TTY TIME CMD 
5681 ? 00:00:00 nmbd 


15.5,2. smbd 


Daemonul smbd se ocupă de transferuri de fişiere şi autentificare. 


[rootQRHEL52 -]+ ps -C smbd 


PID TTY TIME CMD 
5678 ? 00:00:00 smbd 
5683 ? 00:00:00 smbd 


15.5.3. winbindd 


daemonul winbind (winbindd) este pornit doar pentru a se ocupa de membrul 
domeniu Microsoft Windows. 


Notați că winbindd este pornit de scriptul /etc/init.d/winbind (doi d - pentru 
daemon şi doar un d pentru script). 
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[rootQRHEL52 -]t /etc/init.d/winbind start 


Starting Winbind services: [ OK |] 
[rooteRHEL52 =] ps -C winbindd 

PID TTY TIME  CMD 

5752 ? 00:00:00 winbindd 

5754 ? 00:00:00 winbindd 


Pe Debian şi Ubuntu, daemonul winbindd este instalat printr-un pachet separat 
numit winbind. 


15.6. protocolul SMB 
15.6.1. scurtă istorie 


Dezvoltarea acestui protocol a fost inițiat de IMB la începuturile anilor 1980. 
La sfîrşitul anilor '80, cea mai mare parte a dezvoltării a fost făcută de 
Microsoft. SMB este un protocol de nivel aplicație proiectat pentru a se executa 
deasupra NetBIOS/NetBEUI, dar poate fi de asemeni executat deasupra tcp/ip. 


În 1996 s-a cerut ca Microsoft să documenteze protocolul. Ei au dat CIFS (Common 
Internet File System) ca o schiță internet, dar ea nu a avut niciodată statut 
final rfc. 


În 2004 Uniunea Europeană a decis că Microsoft ar trebui să facă documentația 
protocolului pentru a permite altor dezvoltatori să scrie software compatibil. 
În 20 decembrie 2007 Microsoft a căzut de acord. Echipa Samba acum are acces la 
documentația SMB/CIFS, Windows for Workgroups şi Active Directory. 


15.6.2. protocol broadcasting 

SMB foloseşte protocolul locaţie serviciu NetBIOS, care este un protocol 
broadcast. Asta înseamnă că numele NetBIOS trebuie să fie unice pe rețea (chiar 
dacă avem adrese ip diferite). A avea mai multe nume pe o reţea SMB pote dăuna 
în mod serios comunicației. 

15.6.3. nume NetBI0S 

Numele NetBIOS sînt similare cu hostnames (nume de maşini), dar sînt întotdeauna 
scrise cu literă mare şi au doar 15 caractere. Computerele Microsoft Windows şi 
serverele Samba vor difuza acest nume pe reţea. 

15.6.4. lăţime de bandă în reţea 

A avea multe computere care difuzează SMB/CIFS pe rețea poate avea ca efect 


probleme de lățime de bandă. 0 soluție poate fi folosirea unui server nume 
NetBIOS (NBNS) ca WINS (Windows Internet Naming Service). 
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15.7. practică: introducere în samba 


0. !! Asiguraţi-vă că ştiţi numărul de student, tot *TOT* ce numiţi trebuie să 
includă numărul de student! 


1. Verificaţi dacă puteți intra într-un computer Linux/Unix. Scrieţi pe o hîrie 
numele şi adresa ip a acelui computer. 


2. Faceţi la fel pentru toate celelalte maşini (virtuale) disponibile. 


3. Verificaţi rețeaua făcînd ping computerului, editaţți fişierele numelor de 
maşini corespunzătoare astfel încît să folosiți nume. Testați numele făcându-le 


ping. 

4. Asiguraţi-vă că Samba este instalată, scrieţi versiunea de Samba. 

5. Deschideţi fişierul pdf howto Samba 3 Oficial care este instalat pe computer. 
Cîte pagini A4 are acest fişier? Apoi priviți la acelaşi pdf pe samba.org, este 


adus la zi în mod regulat. 


6. Opriți serverul Samba. 
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Capitolul 16. începînd cu samba 

16.1. /etc/samba/smb. conf 

16.1.1. smbd -b 

Configurarea samba se face în fişierul smb.conf. Fişierul poate fi editat 
manual, sau puteți folosi o interfață bazată pe web ca webmin sau swat pentru a- 


1 aranja. Fişierul este de obicei localizat în /etc/samba. îi puteți găsi 
locația exactă cu smbd -b. 


[root&RHEL4b =]+ smbd -b | grep CONFIGFILE 
CONFIGFILE: /etc/samba/smb. conf 


16.1.2. smb.conf default 
Fişierul default smb.conf conține multe exemple cu explicări. 


[pauleRHEL4b =]$ Is -l /etc/samba/smb.conf 
-rw-r--r-- 1 root root 10836 May 30 23:08 /etc/samba/smb.conf 


De asemeni pe Ubuntu şi Debian, smb.conf este împachetat cu exemple şi 
explicări. 


paulelaika:-$ Is -l /etc/samba/smb.conf 
-rw-r--r-- 1 root root 10515 2007-05-24 00:21 /etc/samba/smb. conf 


16.1.3. smb.conf minimal 


Mai jos este un exemplu a unui fişier smb.conf minimal. Permite ca samba să fie 
pornit, şi să fie vizibil altor computere (Microsoft arată computerele în 
Network Neighborhood sau My Network Places). 


[pauleRHEL4b -]$ cat /etc/samba/smb.conf 
[global] 

workgroup = WORKGROUP 

[firstshare] 

path = /srv/samba/public 


16.1.4. net view 
Mai jos este o captură de ecran a comenzii net view pe Microsoft Windows Server 
2003 sp2. Arată un Red Hat Enterprise Linux 5.3 şi un Ubuntu 9.04 Server Samba, 


ambele cu un smb.conf minimal, şi sînt vizibile pe computerele Microsoft vecine. 


C: ADocuments and SettingslAdministrator>net view 


Server Name Remark 

VLAIKA Samba 3.3.2 

NNRHEL53 Samba 3.0.33-3.7.e15 
NNW2003 


The command completed successfully. 
16.1.5. linii lungi în smb.conf 
Unii parametri în smb.conf pot avea o listă lungă de valori în spatele lor. 


Puteți conținua o line (pentru claritate) pe următoarea terminînd linia cu un 
backslash. 
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valid users = Serena, Venus, Lindsay | 

Kim, Justine, Sabine 

Amelie, Marie, Suzanne 
16.1.6. smb.conf curios 
Curios dar adevărat: smb.conf acceptă sinonime ca create mode şi create mask, şi 
(uneori) erori minore de tastare ca browsable şi browseable. Şi cu anumite 
ocazii puteți chiar să schimbaţi cuvintele, parametrul guest only este identic 
cu only guest. Şi writable = yes este la fel cu readonly = no. 
16.1.7. man smb.conf 


Puteţi accesa multă documentație cînd tastați man smb.conf. 


[rooteRHEL4b samba] apropos samba 


cupsaddsmb (8) - export printers to samba for windows clients 

Imhosts (5) - The Samba NetBIOS hosts file 

net (8) - Tool for administration of Samba and remote CIFS servers 
pdbedit (8) - manage the SAM database (Database of Samba Users) 

samba (7) = A Windows SMB/CIFS fileserver for UNIX 

smb.conf [smb] (5) - The configuration file for the Samba suite 

smbpasswd (5) - The Samba encrypted password file 

smbstatus (1) = report on current Samba connections 

swat (8) - Samba Web Administration Tool 

tdbbackup (8) - tool for backing up and ... of samba .tdb files 


[rootQRHEL4b samba] 
16.2. /usr/bin/testparm 
16.2.1. verificarea sintaxei smb.conf 


Pentru a verifica sintaxa fişierului smb.conf, puteți folosi testparm. 


[pauleRHEL4b -]$ testparm 

Load smb config files from /etc/samba/smb.conf 
Processing section "[firstshare]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


16.2.2. testparm -v 


O opțiune interesantă este testparm -v, care va afişa toate opțiunile globale cu 
valoarea lor default. 
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[root&RHEL52 =]+ testparm -v | head 

Load smb config files from /etc/samba/smb.conf 
Processing section "[pubo]" 

Processing section "[globalș]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


[global] 

dos charset = CP850 

unix charset = UTF-8 

display charset = LOCALE 

workgroup = WORKGROUP 

realm = 

netbios name = TEACHERO 

netbios aliases = 

netbios scope = 

server string = Samba 3.0.28-1.el5_2.1 


Existau aproape 350 de valori default pentru parametrii smb.conf în Samba 3.0.x. 
Acest număr a crescut la aproape 400 în Samba 3.5.x. 


16.2.3. testparm -s 


Daemonii samba verifică constant (o dată la 60 de secunde) fişierul smb.conf, 
aşa că este un lucru bun să păstrăm mic acest fişier. Dar de asemeni este bine 
să documentăm configurarea samba, şi să setăm opțiuni explicite care au aceeaşi 
valoare default. Opțiunea testparm -s vă permite să faceți ambele. Va afişa 
ieşirea fişierului configurație cel mai mic posibil, în timp ce va reține toate 
setările. Ideea este să aveţi configurarea samba în alt fişier (ca 
smb.conf.full) şi să lăsați testparm să analizeze asta. Captura de ecran de mai 
jos arată cum. Mai întîi fişierul smb.conf.full cu opțiunea setată explicit 
workgroup la WORKGROUP. 


[rootQRHEL4b samba]t cat smb.conf.full 
[global] 
workgroup = WORKGROUP 


+ This is a demo of a documented smb.conf 
+ These two lines are removed by testparm -s 


server string = Public Test Server 


[firstshare] 
path = /srv/samba/public 


Apoi, executăm testparm cu opțiunea -s, şi redirectăm stdout la fişierul real 
smb. conf. 


[rooteRHEL4b samba]t testparm -s smb.conf.full > smb.conf 
Load smb config files from smb.conf.full 

Processing section "[firstshare]" 

Loaded services file OK. 


Şi mai jos este rezultatul final. Cele două linii de comentariu şi opţiunea 
default nu mai sînt acolo. 
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[rooteRHEL4b samba]t cat smb.conf 


+ Global parameters 
[global] 
server string = Public Test Server 


[firstshare] 
path = /srv/samba/public 
[rootQRHEL4b samba] 


16.3. /usr/bin/smbclient 
16.3.1. smbclient privind la samba 


Cu smbclient puteți vedea navigare şi informație partajată de la serverul smb. 
El va afişa toate partajele, workgroup, şi numele Master Browser. întrerupătorul 
-N este adăugat pentru a evita nevoia de a introduce o parolă goală. 
întrerupătorul -L este urmat de numele maşinii de verificat. 


[rootQRHEL4b init.d]+ smbclient -NL rhel4b 
Anonymous login successful 
Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.10-1.4E.9] 


Sharename Type Comment 

firstshare Disk 

IPC$ IPC IPC Service (Public Test Server) 
ADMINŞ IPC IPC Service (Public Test Server) 


Anonymous login successful 
Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.10-1.4E.9] 


Server Comment 

RHELAB Public Test Server 
WINXP 

Workgroup Master 

MORKGROUP WINX 


16.3.2. smbclient anonim 


Captura de ecran de mai jos foloseşte smbclient pentru a afişa informaţie despre 
un server smb remote (în acest caz un computer cu Ubuntu 11.10). 
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rootâubul110: /etc/sambat testparm smbclient -NL 127.0.0.1 
Anonymous login successful 
Domain=[LINUXTR] OS=[Unix] Server=[Samba 3.5.11] 


Sharename Type Comment 
sharel Disk 
IPC$ IPC IPC Service (Samba 3.5.11) 


Anonymous login successful 
Domain=[LINUXTR] OS=[Unix] Server=[Samba 3.5.11] 


Server Comment 
Workgroup Master 

LINUXTR DEBIAN6 
WORKGROUP UBU1110 


16.3.3. smbclient cu acreditări 


Versiunile Windows după XP sp2 şi 2003 spil nu acceptă acces oaspete (eroarea 
NT_STATUS_ACCESS_DENIED). Acest exemplu arată cum să dăm acreditări cu 
smbclient. 


[pauleRHEL53 =]$ smbclient -L w2003 -U administratorstargate 
Domain=[W2003] Os=[Windows Server 2003 3790 Service Pack 2] Server=... 


Sharename Type Comment 

C$ Disk Default share 
IPCȘ$ IPC Remote IPC 
ADMINȘ Disk Remote Admin 


16.4. /usr/bin/smbtree 


Un alt utilitar folositor pentru a depana Samba sau doar să navigăm în rețeaua 
SMB este smbtree. în cea mai simplă formă a ei, smbtree va face o navigare 
anonimă în subnetul local, afişînd toate computerele SMB şi (dacă este 
autorizat) ceea ce partajează ele. 


să ne uităm la două capturi de ecran a smbtree în acțiune (cu parole goale). 
Prima este făcută imediat după ce am butat patru computere diferite (un MS 
Windows 2000, un MS Windows XP, un MS Windows 2003 şi un RHEL 4 cu 

Samba 3.0.10). 


[pauleRHEL4b =]$ smbtree 

Password: 

WORKGROUP 

PEGASUS 

VWINXP 

NNRHEL4B Pegasus Domain Member Server 

Error connecting to 127.0.0.1 (Connection refused) 
cli_full_connection: failed to connect to RHEL4B<20> (127.0.0.1) 
VNHM2003 

[pauleRHEL4b =-]$ 
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Informația afişată în screenshot-ul de mai înainte arată incomplet. Alegerile de 
browsing încă funcționează, lista browse nu este încă distribuită tuturor 
clienților de către master browser (cel pentru a fi ales). Următoarea captură de 
ecran a fost făcută un minut mai tîrziu. Şi afişează chiar şi mai puţin. 


[pauleRHEL4b =]$ smbtree 
Password: 

WORKGROUP 

NNW2000 

[pauleRHEL4b =]$ 


Aşa că aşteptăm puțin, şi apoi executăm smbtree din nou, de data asta arată mult 
mai plăcut. 


[pauleRHEL4b =]$ smbtree 

Password: 

WORKGROUP 

VIW2000 

PEGASUS 

NAWINXP 

NNARHELA4B Pegasus Domain Member Server 
NARHEL4BVADMINȘ$ IPC Service (Pegasus Domain Member Server) 
NNRHEL4BVIPCŞ IPC Service (Pegasus Domain Member Server) 
NNRHEL4Bldomaindata Active Directory users only 

NAHM2003 

[pauleRHEL4b -]$ smbtree --version 

Version 3.0.10-1.4E.9 

[pauleRHEL4b -]$ 


Am adăugat numărul de versiune a smbtree în captura de ecran anterioară, pentru 
a vă arăta diferenţa folosind ultima versiune a smbtree (mai jos este un 
screenshot luat de pe Ubuntu Feisty Fawn). Ultima versiune arată o trecere în 
revistă mai completă a maşinilor şi partajele lor. 


paulelaika:-$ smbtree --version 
Version 3.0.24 

paulelaika:-$ smbtree 

Password: 

WORKGROUP 

VIW2000 

NIW2000firstshare 

VW2000C$ Default share 
VIW2000 VADMINȘ Remote Admin 
NIW2000 LIPC$ Remote IPC 
PEGASUS 

NAWINXP 

cli_rpc_pipe_open: cli_nt_create failed on pipe |srvsvc to machine WINXP. 
Error was NT_STATUS_ACCESS_DENIED 


NNRHEL4B Pegasus Domain Member Server 
NNRHEL4BVADMINȘ$ IPC Service (Pegasus Domain Member Server) 
NARHEL4BNLIPC$ IPC Service (Pegasus Domain Member Server) 
NNRHEL4Bdomaindata Active Directory users only 

NNHM2003 


cli_rpc_pipe_open: cli_nt_create failed on pipe |srvsvc to machine HM2003. 
Error was NT_STATUS_ACCESS_DENIED 
paulelaika:-$ 
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Screenshot-ul de mai sus furnizează de asemeni erori utile de ce nu putem să 
vedem informaţii partajate pe computere winxp şi w2003. Să încercăm versiunea 
veche smbtree pe serverul nostru RHEL, dar de această dată cu acreditările 
administratorului (care sînt la fel pe toate computerele). 


[pauleRHEL4b =]$ smbtree -UAdministrator*Stargatel 


WORKGROUP 

VNW2000 

PEGASUS 

VWINXP 

VWINXPNC$ Default share 

NWINXPNADMINȘ$ Remote Admin 

VWINXPishare55 

NAWINXPNIPC$ Remote IPC 

NNARHELA4B Pegasus Domain Member Server 
NNRHEL4BVADMINȘ$ IPC Service (Pegasus Domain Member Server) 
NARHEL4BILIPC$ IPC Service (Pegasus Domain Member Server) 
NRHEL4BIdomaindata Active Directory users only 

VNHM2003 

NNHM2003NETLOGON Logon server share 

NNHM2003SYSVOL Logon server share 

NNHM2003 WSUSTemp A network share used by Local Publishing ... 
NNHM2003 VADMIN$ Remote Admin 

VNHM2003|tools 

VNHM2003 LIPC$ Remote IPC 

NIHM2003 WsusContent A network share to be used by Local 
NNHM20031C$ Default share 


[pauleRHEL4b -]$ 


După cum puteți vedea, această comandă dă o afişare foarte frumoasă a tuturor 
computerelor SMB şi a partajelor lor. 


16.5. server şir 
Comentariul văzut de către comenzile net view şi smbclient este valoarea default 


pentru opţiunea server string. Doar adăugînd această valoare în secțiunea 
globală în smb.conf şi restartînd samba va schimba opțiunea. 


[root&RHEL53 samba]t testparm -s 2>/dev/null | grep server 
server string = Red Hat Server in Paris 


După o scurtă perioadă de timp, opţiunea schimbată este vizibilă pe computerele 
Microsoft. 


C: NDocuments and SettingsiAdministrator>net view 


Server Name Remark 

NLAIKA Ubuntu 9.04 server in Antwerp 
NNRHEL53 Red Hat Server in Paris 
VNW2003 


16.6. SWAT (Samba Web Administration Tool) 


Samba vine cu un utilitar bazat pe web pentru a aranja fişierul de configurație 
samba. SWAT este accesibil cu un web browser pe portul 901 al sistemului gazdă. 
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Pentru a activa utilitarul, mai întîi aflați dacă sistemul foloseşte 
superdaemonul inetd sau xinetd. 


[rooteRHEL4b samba]t ps fax | grep iînet 

15026 pts/0 S+ 0:00 A_ grep înet 

2771 2? Ss 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid 
[rootQRHEL4b samba]t 


Apoi editați inetd.conf sau schimbaţi linia disable = yes în /etc/xinetd.d/swat 
la disable = no. 


[rootQRHEL4b samba]t cat /etc/xinetd.d/swat 
+ default: off 


4 description: SWAT is the Samba Web Admin Tool. Use swat | 

ii to configure your Samba server. To use SWAT, | 
ii connect to port 901 with your favorite web browser. 
service swat 

(i 

port = 901 

socket_type = stream 

wait = no 

only_from = 127.0.0.1 

user = root 

server = /usr/sbin/swat 

log_on_failure += USERID 

disable = no 

) 

[rootQRHEL4b samba]t /etc/init.d/xinetd restart 

Stopping xinetd: [ OK |] 

Starting xinetd: [ OK ] 


[rootQRHEL4b samba] 


Schimbați valoarea only from pentru a permite swat de la computere remote. Acest 
exemplu arată cum să dăm acces swat pe toate computerele într-un subnet /24. 


[rootQRHEL53 xinetd.d]t grep only /etc/xinetd.d/swat 
only_from = 192.168.1.0/24 


Fiți atenți cînd utilizați SWAT, el şterge toate comentariile editate manual în 
smb. conf. 


192 


16.7. practică: începînd cu samba 

1. Faceți o copie backup a fişierului original smb.conf, numiți-l smb.conf.orig. 
2. Activați SWAT şi uitați-vă la el. 

3. Opriți serverul Samba. 

4. Creați un fişier minimal smb.conf.minimal şi testați-l cu testparn. 

5. Folosiţi testparm -s pentru a crea /etc/samba/smb.conf din smb.conf.minimal. 
6. Deschideţi Samba cu smb.conf.minimal. 

7. Verificaţi cu smbclient dacă serverul Samba funcționează. 

8. Verificaţi dacă un alt computer (Microsoft) vă poate vedea serverul Samba. 

9. Navigaţi reţeaua cu net view, smbtree şi cu Windows Explorer. 


10. Schimbați parametrul "Server String" în smb.conf. Cât timp cere înainte de a 
vă vedea schimbarea (net view, smbclient, My Network Places, ..)? 


11. Restartînd Samba după o schimbare în smb.conf va accelera schimbarea? 


12. Care computer este master browser master în workgroup? Ce este master 
browser? 


13. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 


această practică), atunci instalați un interceptor (wireshark) şi priviţi 
alegerile din browser. 
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16.8. soluție: începînd cu samba 

1. Faceți o copie backup a fişierului original smb.conf, numiți-l smb.conf.orig. 
cd /etc/samba ; cp smb.conf smb.conf.orig 

2. Activați SWAT şi uitați-vă la el. 

pe Debian/Ubuntu: vi /etc/inetd.conf (ştergeţi + înainte de swat) 

pe RHEL/Fedora: vi /etc/xinetd.d/swat (setaţi disable la no) 

3. Opriți serverul Samba. 

/etc/init.d/smb stop (Red Hat) 

/etc/init.d/samba stop (Debian) 

4. Creați un fişier minimal smb.conf.minimal şi testați-l cu testparn. 

cd /etc/samba ; mkdir my_smb_confs ; cd my_smb_confs 

vi smb.conf.minimal 

testparm smb.conf.minimal 

5. Folosiţi testparm -s pentru a crea /etc/samba/smb.conf din smb.conf.minimal. 
testparm -s smb.conf.minimal > ../smb.conf 

6. Deschideţi Samba cu smb.conf.minimal. 

/etc/init.d/smb restart (Red Hat) 

/etc/init.d/samba restart (Debian) 

7. Verificaţi cu smbclient dacă serverul Samba funcționează. 


smbclient -NL 127.0.0.1 


8. Verificaţi dacă un alt computer (Microsoft) vă poate vedea serverul Samba. 


smbclient -NL 'ip-address' (pe un Linux) 


9. Navigaţți reţeaua cu net view, smbtree şi cu Windows Explorer. 
pe Linux: smbtree 


pe Windows: net view (şi WindowskKey + e) 


10. Schimbaţți parametrul "Server String" (server şir) în smb.conf. Cât timp cere 
înainte de a vă vedea schimbarea (net view, smbclient, My Network Places, ..)? 


vi /etc/samba/smb.conf 


(ar trebui să ia doar cîteva secunde după ce restartaţi samba) 


11. Restartînd Samba după o schimbare în smb.conf va accelera schimbarea? 
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Da. 


12. Care computer este master browser master în workgroup? Ce este master 
browser? 


Computerul care a cîştigat elecţiile. 
Această maşină va face lista computerelor în reţea. 


13. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 
această practică), atunci instalați un interceptor (wireshark) şi priviţi 
alegerile din browser. 


Pe Ubuntu: sudo aptitude install wireshark 


apoi: sudo wireshark, selectaţi interface 
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Capitolul 17. server fişier cu drepturi doar de citire 
17.1. setarea unui director de partajat 


Să începem cu setarea unui foarte simplu server fişier cu permisiuni doar de 
citire cu Samba. Oricine (chiar şi musafirii anonimi) vor primi acces de citire. 


Primul pas este să creăm un director şi să punem nişte fişiere test îneel. 


[rootQRHEL52-=-]% mkdir -p /srv/samba/readonly 

[rooteRHEL52-]4 cd /srv/samba/readonly/ 

[rooteRHEL52 readonly]t echo "It is cold today." > winter.txt 
[rooteRHEL52 readonly]+ echo "It is hot today." > summer.txt 
[rootQRHEL52 readonly]t Is -1 

total 8 

-rw-r--r-- 1 root root 17 Jan 21 05:49 summer.txt 

-rw-r--r-- 1 root root 18 Jan 21 05:49 winter.txt 
[rootQRHEL52 readonly]t 


17.2. configurarea partajului 
17.2.1. secţiunea [global] smb.conf 


în acest exemplu serverul samba este un membru al WORKGROUP (workgroup default). 
De asemeni am setat un server şir descriptiv, acest şir este vizibil 
utilizatorilor care navighează rețeaua cu net view, windows explorer sau 
smbclient. 


[rootQRHEL52 samba] head -5 smb.conf 
[global] 

workgroup = WORKGROUP 

server string = Public Anonymous File Server 
netbios name = TEACHERO 

security = share 


S-ar putea să fi observat linia security = share. Această linie setează modul 
securității default pentru serverul nostru samba. Setînd modul securităţii la 
share (partaj) va permite clienților (maşinilor care efectuează cererile) 
(smbclient, orice Windows, un alt server Samba, ..) să dea o parolă pentru 
fiecare partaj. Aceasta este o cale de a utiliza protocolul SMB/CIFS. Cealaltă 
cale (numită user mode) va permite clientului să dea o combinaţie 
username/parolă, înainte ca serverul să cunoască la care partaj vrea să aibă 
acces clientul. 


17.2.2. secţiunea [share] smb.conf 


Partajul este numit pubread şi calea este setată la directorul nostru nou creat. 
Orcine are permisiune de acces (guest ok = yes) şi securitatea este setată cu 
permisiuni doar de citire. 


[pubread] 

path = /srv/samba/readonly 
comment = files to read 
read only = yes 

guest ok = yes 


Aici este o configurare similară pe Ubuntu 11.10. 
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rootâubul110:-4 cat /etc/samba/smb.conf 
[global] 

workgroup = LINUXTR 

netbios name = UBU1110 

security = share 

[pubread] 

path = /srv/samba/readonly 

comment = files to read 

read only = yes 

guest ok = yes 


într-adevăr nu are importanță ce distribuție folosiți. Mai jos este aceeaşi 
configurație pe Debian 6, la fel de bună identic. 


rootâdebian6:-t cat /etc/samba/smb.conf 
[global] 

workgroup = LINUXTR 

netbios name = DEBIAN6 

security = share 

[roshare1] 

path = /srv/samba/readonly 

read only = yes 

guest ok = yes 


17.3. restartare server 


După ce testați cu testparm, restartați serverul samba (astfel nu trebuie să 
aşteptaţi). 


[rooteRHEL4b readonly]t service smb restart 


Shutting down SMB services: [ OK ] 
Shutting down NMB services: [ OK ] 
Starting SMB services: [ OK |] 
Starting NMB services: [ OK ] 


17.4. verificare partaj 
17.4.1. verificaţi cu smbclient 


Puteți verifica acum existența partajului cu smbclient. pubread este listat ca 
al patrulea partaj. 
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[rootQRHEL52 samba] smbclient -NL 127.0.0.1 
Domain= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 


Sharename Type Comment 

IPC$ IPC IPC Service (Public Anonymous File Server) 
globalș Disk 

pub Disk 

pubread Disk files to read 


Doma'in= [WORKGROUP] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 


Server Comment 

TEACHERO. Samba 3.0.33-3.7.el5 
W2003EE 

Workgroup Master 

ORKGROUP W2003E£ 


17.4.2. verificare pe Windows 
Testul final este să intrați pe un computer Microsoft Windows şi să citiți un 


fişier pe serverul Samba. Mai întîi folosim comanda net use pentru a monta 
partajul pubread pe driveletter-ul K. 


C:>net use K: |lteacherolpubread 
The command completed successfully. 


Apoi testăm uitîndu-ne la conținutul partajului, şi citind fişierele. 
C:W>dir k: 


Volume in drive K is pubread 
Volume Serial Number is 0C82-11F2 


Directory of K:| 


21/01/2009 05:49  <DIR> 
21/01/2009 05:49  <DIR> 


21/01/2009 05:49 17 summer.txt 
21/01/2009 05:49 18 winter.txt 
2 File(s) 35 bytes 
2 Dir(s) 13.,496.242.176 bytes free 


Ca să fim în zona sigură, să încercăm să scriem. 


K:V>echo very cold > winter.txt 
Access is denied. 


K:> 


Sau puteți folosi Windows Explorer 
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"TeacherO'pubread 


e MTaaienipubtead 


E summer txt 1 KB Text Document pere 5:49 
E) winter txt 1KB Text Document 2140142009 5:49 


2 Desktop 
=) My Documents 
a | My Computer 
E B+) 314 Floppy (A:) 
“> Local Disk (C:) 
E 3 CD Drive (D:) 
Q Control Panel 
2 43 my Network Places 
=] P) Entire Network 
[5] Microsoft Terminal Services 
=] [5] Microsoft windows Network 
PA Mshome 
[=] PI workgroup 
=] 9 TeacherD 
pub 
3 Printers and Faxes 
19 w2003ee 
3 YMware Shared Folders 
3 web Client Network 
2) Recycle Bin 
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17.5. o notă despre netcat 


Screenshot-ul liniei de comandă Windows este făcut într-o consolă Linux, 
folosind netcat ca o conductă la un shell de comandă Windows. 


Modalitatea prin care asta funcționează, este pentru că am activat netcat să 
asculte pe computerul Windows pe un anumit port, executînd cmd.exe cînd o 
conexiune este primită. Netcat este similar cu cat, în modalitatea că cat nu 
face nimic, şi netcat nu face nimic pe rețea. 


Pentru a activa această conexiune, tastați următoarele pe computerul Windows 
(după ce downloadați netcat pentru Windows). 


nc -l -p 23 -t -e cmd.exe 


Şi apoi conectați-vă la această maşină cu netcat de la orice computer Linux. 
Veţi sfîrşi cu un prompt cmd.exe în interiorul shell-ului Linux. 


paulelaika:=$ nc 192.168.1.38 23 
Microsoft Windows [Version 5.2.3790] 
(C) Copyright 1985-2003 Microsoft Corp. 


C:>net use k: /delete 


net use k: /delete 
k: was deleted successfully. 
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17.6. practică: server fişier cu drepturi doar de citire 


1. Creați un director într-o locație bună (FHS) pentru a partaja fişiere ca 
oricine să le poată citi. 


2. Asiguraţi-vă că directorul este deținut în mod corespunzător şi este 
accesibil tuturor. 


3. Puneţi un fişier text în acest director. 
4. Partajaţi directorul cu Samba. 


5. Verificaţi de la computer şi de la un alt computer (smbclient, net use, ..) că 
partajul este accesibil pentru a fi citit. 


6. Faceţi o copie backup a smb.conf, numiți-o smb.conf.ReadonlyFrileServer. 
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17.7. soluție: server fişier cu drepturi doar de citire 


1. Creați un director într-o locație bună (FHS) pentru a partaja fişiere ca 


oricine să le poată citi. 
Alegeţi una dintre acestea... 
mkdir -p /srv/samba/readonly 
mkdir -p /home/samba/readonly 
/home/paul/readonly is wrong!! 
/etc/samba/readonly is wrong!! 


/readonly is wrong!! 


2. Asiguraţi-vă că directorul este deținut în mod corespunzător şi este 


accesibil tuturor. 
chown root:root /srv/samba/readonly 


chmod 755 /srv/samba/readonly 


3. Puneţi un fişier text în acest director. 


echo Hello World > hello.txt 


4. Partajaţi directorul cu Samba. 
smb.conf.readonly ar putea arăta astfel: 


[global] 

workgroup = WORKGROUP 

server string = Read Only File Server 
netbios name = STUDENTx 

security = share 


[readonlyX] 

path = /srv/samba/readonly 
comment = read only file share 
read only = yes 

guest ok = yes 


Testaţi cu testparm înainte de a-l pune în producţie! 


5. Verificaţi de la computer şi de la un alt computer (smbclient, 


partajul este accesibil pentru a fi citit. 
Pe Linux: smbclient -NL 127.0.0.1 
Pe Windows Explorer: navigaţi la My Network Places 


Pe Windows cmd.exe: net use L: //studentx/readonly 


6. Faceţi o copie backup a smb.conf, numiți-o smb.conf.ReadonlyFrileServer. 


cp smb.conf smb.conf.ReadOnlyFileServer 
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„) că 


Capitolul 18. server fişier cu drepturi de scriere 
18.1. setarea unui director de partaj 


în acest al doilea exemplu, vom crea un partaj unde oricine poate crea fişiere 
şi să scrie în fişiere. Din nou, vom începe creînd un director. 


[rooteRHEL52 samba] mkdir -p /srv/samba/writable 
[rootQRHEL52 samba]t chmod 777 /srv/samba/writable/ 


18.2. secţiunea share în smb.conf 


Există doi parametri pentru a face un partaj cu drepturi de scriere. Putem 
folosi read only sau writable. Acest exemplu arată cum să folosim writable 
pentru a da acces de scriere unui partaj. 


writable = yes 


Şi acesta este un exemplu al utilizării parametrului read only pentru a da acces 
de scriere unui partaj. 


read only = no 
18.3. configurare partaj 


Apoi adăugăm un partaj serverului nostru fişier editînd smb.conf. Mai jos este 
verificarea cu testparm. (Puteam schimba descrierea serverului ..) 


[rootQeRHEL52 samba] testparm 

Load smb config files from /etc/samba/smb.conf 
Processing section "[pubwrite]" 

Processing section "[pubread]" 

Loaded services file OK. 

Server role: ROLE_STANDALONE 

Press enter to see a dump of your service definitions 


[global] 

netbios name = TEACHERO 

server string = Public Anonymous File Server 
security = SHARE 


[pubwrite] 

comment = files to write 
path = /srv/samba/writable 
read only = No 

guest ok = Yes 


[pubread] 

comment = files to read 
path = /srv/samba/readonly 
guest ok = Yes 


18.4. testare conexiune cu Windows 


Acum putem testa conexiunea pe un computer Windows 2003. Folosim net use pentru 
asta. 
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C:>net use L: |lteacherolpubwrite 
net use L: ||teacherOlpubwrite 
The command completed successfully. 


18.5. testare scrieriere cu Windows 


Am montat partajul pubwrite pe disk-ul L: în Windows. 


scrie pe acest partaj. 
L:V>echo hoi > hoi.txt 


L:N>dir 
Volume in drive L is pubwrite 
Volume Serial Number is 0C82-272A 


Directory of L:i 


21/01/2009 06:11  <DIR> 
21/01/2009 06:11  <DIR> 
21/01/2009 06:16 6 hoi.txt 

1 File(s) 6 bytes 

2 Dir(s) 13.496.238.080 bytes free 


18.6. cum e posibil? 


Mai jos testăm dacă putem 


Linux (sau orice Unix) are nevoie întotdeauna de un cont utilizator pentru a 
obține acces la un sistem. Computerul Windows nu a cerut serverului samba un 
cont de utilizator sau o parolă. în schimb, proprietarul Linux a fişierelor 
create prin acest partaj cu drepturi de scriere este contul musafir (de obicei 


numit nobody). 


[rootQRHEL52 samba]t Is -l /srv/samba/writable/ 
total 4 
-rwxr--r-- 1 nobody nobody 6 Jan 21 06:16 hoi.txt 


Astfel asta nu este cea mai deschisă soluție. Va trebui să îmbunătăţim asta. 


204 


18.7. practică: server fişier cu drepturi de scriere 
1. Creați un director şi partajați-l cu Samba. 


2. Asiguraţi-vă că oricine poate citi şi scrie fişiere, testați scrierea cu 
smbclient şi de pe un computer Microsoft. 


3. Verificaţi proprietarul fişierelor create de (diverşi) utilizatori. 
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18.8. soluție: server fişier cu drepturi de scriere 


1. Creați un director şi partajați-l cu Samba. 

mkdir /srv/samba/writable 

chmod 777 /srv/samba/writable 

secţiunea partajului în smb.conf poate arăta astfel: 


[pubwrite] 

path = /srv/samba/writable 
comment = files to write 
read only = no 

guest ok = yes 


2. Asiguraţi-vă că oricine poate citi şi scrie fişiere, 
smbclient şi de pe un computer Microsoft. 


Pentru a testa scrierea cu smbclient: 


echo one > count.txt 

echo two >> count.txt 

echo three >> count.txt 
smbclient //localhost/pubwrite 
Password: 

smb: > put count.txt 


testați scrierea cu 


3. Verificaţi proprietarul fişierelor create de (diverşi) utilizatori. 


1s -1l /srv/samba/writable 
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Capitolul 19. contul primului utilizator samba 


19.1. crearea unui utilizator samba 


Vom crea un utilizator pentru serverul nostru fişier samba şi-l vom face pe 
acest utilizator proprietarul directorului şi al tuturor fişierelor lui. Acest 
utilizator anonim primeşte o descriere clară, dar nu primeşte un shell login. 


[rooteRHEL52 samba]t useradd -s /bin/false sambanobody 

[rooteRHEL52 samba]t usermod -c "Anonymous Samba Access" sambanobody 
[rooteRHEL52 samba] passwd sambanobody 

Changing password for user sambanobody. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 


19.2. proprietarul fişierelor 


Putem folosi acest utilizator ca proprietarul fişierelor şi directoarelor, în 
loc să folosim contul de root. Această abordare este clară şi mai sigură. 


[rootQeRHEL52 samba] chown -R sambanobody:sambanobody /srv/samba/ 
[rootQRHEL52 samba] Is -al /srv/samba/writable/ 

total 12 

drwxrwxrwx 2 sambanobody sambanobody 4096 Jan 21 06:11 

drwxr-xr-x 6 sambanobody sambanobody 4096 Jan 21 06:11 

-rwxr--r-- 1 sambanobody sambanobody 6 Jan 21 06:16 hoi.txt 


19.3. /usr/bin/smbpasswd 


Contul de utilizator sambanobody pe care L-am creat în exemplele anterioare nu 
este încă utilizat de către samba. El este doar proprietarul fişierelor şi 
directoarelor pe care le-am creat pentru partajele noastre. Scopul acestei 
secțiuni este să forțănm proprietarea fişierelor create prin intermediul 
partajului samba ca ele să aparţină utilizatorului nostru sambanobody. Țineţi 
minte, serverul nostru este încă accesibil tuturor, nimeni nu are nevoie să ştie 
acest cont de utilizator sau parola. Vrem doar un server Linux deschis. 


Pentru a îndeplini asta, trebuie mai întîi să spunem despre acest utilizator lui 
Samba. Putem face asta adăugând contul la smbpasswd. 


[rootQRHEL52 samba] smbpasswd -a sambanobody 
New SMB password: 

Retype new SMB password: 

Added user sambanobody. 


19.4. /etc/samba/smbpasswd 


Pentru a afla unde Samba păstrează această informație (deocamdată), folosiţi 
smbd -b. Variabila PRIVATE _DIR vă va arăta unde este localizată baza de date 
smbpasswd. 


[root&RHEL52 samba] smbd -b | grep PRIVATE 
PRIVATE_DIR: /etc/samba 

[rooteRHEL52 samba]t Is -l smbpasswd 

a că iasa 1 root root 110 Jan 21 06:19 smbpasswd 


Puteți folosi o simplă comandă cat pentru a vedea conținutul bazei de date 
Smbpasswd. Utilizatorul sambanobody are o parolă (este secretă). 
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[rootQRHEL52 samba]t cat smbpasswd 
sambanobody:503:AE9 ... 9DB309C528E540978:[U ]: LCT-4976B05B: 


5.5. passdb backend 


Notați că versiunile recente Samba au tdbsam ca default pentru parametrul passdb 
backend. 


rootâubul110:-4 testparm -v 2>/dev/null| grep 'passdb backend' 


passdb backend = tdbsam 
19.6. forțarea acestui utilizator 


Acum că Samba ştie despre acest utilizator, putem ajusta partajul nostru cu 
drepturi de scriere pentru a forța proprietarea fişierelor create prin el. 
Pentru asta folosim opţiunile force user şi force group. Acum putem fi siguri că 
toate fişierele în partajul Samba cu drepturi de scriere sînt deținute de 
acelaşi utilizator sambanobody. 


Mai jos este o definiție reînnoită a partajului nostru în smb.conf. 


[pubwrite] 

path = /srv/samba/writable 
comment = files to write 
force user = sambanobody 
force group = sambanobody 
read only = no 

guest ok = yes 


Cînd vă reconectați la partaj şi scrieţi un fişier, atunci acest utilizator 


sambanobody va deține fişierul nou creat (şi nimeni nu are nevoie să ştie 
parola). 
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19.7. practică: contul primului utilizator samba 


1, 


2. 


3, 


Creați un cont de utilizator de folosit cu samba. 
Adăugați acest utilizator la baza de date samba. 


Creați un director cu drepturi de scriere partajat şi folosiți directivele 


"force user" şi "force group" pentru a forța proprietarea fişierelor. 


4. 


Testaţi funcționarea utilizatorului forțat cu smbclient, net use şi Windows 


Explorer. 
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19.8. soluție: contul primului utilizator samba 


1. Creați un cont de utilizator de folosit cu samba. 
useradd -s /bin/false smbguest 
usermod -c 'samba guest! 


passwd smbguest 
2. Adăugaţi acest utilizator la baza de date samba. 
smbpasswd -a smbguest 


3. Creați un director cu drepturi de scriere partajat şi folosiţi directivele 
"force user" şi "force group" pentru a forța proprietarea fişierelor. 


[userwrite] 

path = /srv/samba/userwrite 

comment = everyone writes files owned by smbguest 
read only = no 

guest ok = yes 

force user = smbguest 

force group = smbguest 


4. Testați funcționarea utilizatorului forțat cu smbclient, net use şi Windows 
Explorer. 


1s -l /srv/samba/userwrite (şi verificaţi proprietarul). 
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Capitolul 20. autentificare samba 
20.1. crearea utilizatorilor pe Linux 


Scopul acestui exemplu este să setăm un partaj de fişier accesibil unui număr de 
diverşi utilizatori. Utilizatorii vor trebui să se autentifice cu parola lor 
înainte de a le fi permis accesul la partaj. Mai întîi vom crea trei nume de 
utilizatori numiți aleator, fiecare cu propria lui parolă. Mai întîi adăugăm 
aceşti utilizatori la Linux. 


[rootQRHEL52 =] useradd -c "Serena Williams" serena 
[rootQRHEL52 -]+ useradd -c "Justine Henin" justine 
[rootQRHEL52 -]+ useradd -c "Martina Hingis" martina 
[rootQRHEL52 -]+ passwd serena 

Changing password for user serena. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[rooteRHEL52 -]+ passwd justine 

Changing password for user justine. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 
[rooteRHEL52 =] passwd martina 

Changing password for user martina. 

New UNIX password: 

Retype new UNIX password: 

passwd: all authentication tokens updated successfully. 


20.2. crearea utilizatorilor pe samba 
Apoi îi adăugăm la fişierul smbpasswd, cu aceeaşi parolă. 


[rootQRHEL52 -]+ smbpasswd -a serena 
New SMB password: 

Retype new SMB password: 

Added user serena. 

[rootQRHEL52 -]+ smbpasswd -a justine 
New SMB password: 

Retype new SMB password: 

Added user justine. 

[rootQRHEL52 -]+ smbpasswd -a martina 
New SMB password: 

Retype new SMB password: 

Added user martina. 


20.3. security = user 


Vă amintiți că am setat modul securității samba să partajeze cu directiva 
security = share în secțiunea [global]? De vreme ce acum solicităm 
utilizatorilor ca întotdeauna să dea un userid şi o parolă pentru a accesa 
serverul nostru samba, va trebui să schimbăm asta. Setînd security = user va 
cere maşinii care efectuează cererea să înzestreze samba cu un userid şi o 
parolă validă înainte de a da acces la un partaj. 


Secțiunea noastră [global] acum arată astfel. 
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[global] 

workgroup = WORKGROUP 

netbios name = TEACHERO 

server string = Samba File Server 
security = user 


20.4. configurarea partajului 


Adăugăm următoarea secțiune [share] la smb.conf (şi nu uităm să creăm directorul 
/srv/samba/authwrite) . 


[Lauthwrite] 

path = /srv/samba/authwrite 
comment = authenticated users only 
read only = no 

guest ok = no 


20.5. testarea accesului cu net use 
După ce restartăm samba, testăm cu diferiți utilizatori din interiorul 


computerelor Microsoft. Captura de ecran foloseşte net use (mai întîi serena) 
din Windows XP. 


C:>net use m: |lteacherojlauthwrite stargate /user:serena 
The command completed successfully. 


C:>m: 
M:V>echo greetings from Serena > serena.txt 


Următorul screenshot este martina pe un computer Windows 2000, ea reuşeşte în 
scrierea fişierelor ei, dar eşuează să suprascrie fişierul de la serena. 


C:>net use k: |lteacherolauthwrite stargate /user:martina 
The command completed successfully. 


C:>k: 
K:V>echo greetings from martina > Martina.txt 


K:V>echo test overwrite > serena.txt 
Access is denied. 


20.6. testarea accesului cu smbclient 


Puteți de asemeni să testați conectarea cu autentificare cu smbclient. Mai întîi 
testăm cu o parolă greşită. 


[rootQeRHEL52 samba] smbclient //teachero/authwrite -U martina wrongpass 
session setup failed: NT_STATUS_LOGON_FAILURE 


Apoi testăm cu parola corectă, şi verificăm dacă putem accesa un fişier de pe 
partaj. 
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[rooteRHEL52 samba] smbclient //teachero/authwrite -U martina stargate 
Domain=[ TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

smb: |> more serena.txt 

getting file |serena.txt of size 14 as /tmp/smbmore.QQfmSN (6.8 kb/s) 
one 

two 

three 

smb: > q 


20.7. verificare proprietar 


Avem acum un server fişier samba simplu cu acces autentificare. Şi fişierele în 
partaje aparțin deţinătorilor lor proprii. 


[rootQRHEL52 samba] Is -l /srv/samba/authwrite/ 

total 8 

-rwxr--r-- 1 martina martina 0 Jan 21 20:06 martina.txt 
-rwxr--r-- 1 serena serena 14 Jan 21 20:06 serena.txt 
-rwxr--r-- 1 serena serena 6 Jan 21 20:09 ser.txt 


20.8. probleme comune 
20.8.1. NT STATUS BAD _ NETWORK_NAME 


Puteți obține NT_STATUS_BAD_NETWORK_NAME cînd uitaţi să creați directorul ţintă. 


[rootQRHEL52 samba]! rm -rf /srv/samba/authwrite/ 

[rooteRHEL52 samba] smbclient //teachero/authwrite -U martina stargate 
Domain=[ TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

tree connect failed: NT_STATUS_BAD_NETWORK_NAME 


20.8.2. NT_STATUS_LOGON_FAILURE 


Puteţi obține NT_STATUS_LOGON_FAILURE cînd tastați greşit parola sau cînd 
tastați un utilizator inexistent. 


[rootQRHEL52 samba]t smbclient //teacher0/authwrite -U martina STARGATE 
session setup failed: NT_STATUS_LOGON_FAILURE 


20.8.3. numele de utilizator (nu) sînt senzitive 


Țineți minte că numele utilizator pe Linux sînt senzitive. 


[rootQRHEL52 samba] su - MARTINA 
su: user MARTINA does not exist 
[rootQRHEL52 samba]t su - martina 
[martinaaRHEL52 -]$ 


Dar numele de utilizator pe computerele Microsoft nu sînt senzitive. 


[rooteRHEL52 samba] smbclient //teachero/authwrite -U martina stargate 
Domain=[ TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

smb: > q 

[rooteRHEL52 samba] smbclient //teachero/authwrite -U MARTINA stargate 
Domain=[ TEACHERO] OS=[Unix] Server=[Samba 3.0.33-3.7.e15] 

smb: > q 
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20.9. practică: autentificare samba 


0. Asiguraţi-vă că aveţi backup-uri denumite corespunzător a smb.conf a 
exerciţiilor de practică anterioare. 


1. Creați trei utilizatori (pe Linux şi pe samba), ţineţi minte parolele lor! 


2. Setați un director partaj care este accesibil doar utilizatorilor 
autentificaţi. 


3. Folosiţi smbclient şi un computer Windows pentru a accesa partajul, folosiți 
mai mult decît un singur cont utilizator (Windows cere un logoff/logon pentru 
asta). 


4. Verificaţi dacă fişierele create de aceşti utilizatori le aparțin. 


5. încercați să schimbaţi sau să ştergeţi un fişier de la un alt utilizator. 
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20.10. soluţie: autentificare samba 
1. Creați trei utilizatori (pe Linux şi pe samba), ţineţi minte parolele lor! 
useradd -c 'SMB userl!' userx 


passwd userx 


2. Setați un director partaj care este accesibil doar utilizatorilor 
autentificaţi. 


Secţiunea partajată în smb.conf ar putea arăta astfel: 


Lauthwrite] 

path = /srv/samba/authwrite 
comment = authenticated users only 
read only = no 

guest ok = no 


3. Folosiţi smbclient şi un computer Windows pentru a accesa partajul, folosiţi 
mai mult decît un singur cont utilizator (Windows cere un Llogoff/logon pentru 
asta). 

pe Linux: smbclient //studentX/authwrite -U userl password 

pe Windows net folosiţi p: |istudentXjauthwrite password /user:user2 

4. Verificaţi dacă fişierele create de aceşti utilizatori le aparțin. 

1s -1l /srv/samba/authwrite 


5. încercați să schimbaţi sau să ştergeţi un fişier de la un alt utilizator. 


Nu ar trebui să puteţi schimba sau suprascrie fişiere de la ceilalţi. 
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Capitolul 21. securitate partaje samba 
21.1. securitate bazată pe nume utilizator 
21.1.1. valid users 


Pentru a restricționa utilizatorii per partaj, puteți folosi parametrul valid 
users. În exemplul de mai jos, doar utilizatorii listaţi ca valizi vor putea să 
aibă acces la partajul tennis. 


[tennis] 

path = /srv/samba/tennis 

comment = authenticated and valid users only 
read only = No 

guest ok = No 

valid users = serena, kim, venus, justine 


21.1.2. invalid users 


Dacă aveți paranoia, puteți de asemeni folosi invalid users pentru a nega în mod 
explicit accesul utilizatorilor listați. Cînd un utilizator este în ambele 
liste, utilizatorul nu are nici un acces! 


[tennis] 

path = /srv/samba/tennis 

read only = No 

guest ok = No 

valid users = kim, serena, venus, justine 
invalid users = venus 


21.1.3. read list 


Pe un partaj cu drepturi de scriere, puteţi seta o listă a utilizatorilor cu 
drepturi doar de citire cu parametrul read list. 


[football] 

path = /srv/samba/football 
read only = No 

guest ok = No 

read list = martina, roberto 


21.1.4. write list 


Chiar pe un partaj cu drepturi doar de citire, puteţi seta o listă de 
utilizatori care pot scrie. Folosiţi parametrul write list. 


[football] 

path = /srv/samba/golf 
read only = Yes 

guest ok = No 

write list = eddy, jan 


21.2. securitate bazată pe adresă ip 
21.2.1. hosts allow 


Parametrul hosts allow sau allow hosts este unul dintre avantajele cheie a 
Samba. El permite controlul partajelor la nivelul adresei ip. Pentru a permite 
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numai anumitor nume de maşini să acceseze un partaj, listați numele de maşini, 
separate de virgulă. 


allow hosts = 192.168.1.5, 192.168.1.40 

Permiterea subnetului în întregime se face prin terminarea cîmpului cu un punct. 
allow hosts = 192.168.1. 

Măştile subnet pot fi adăugate în modalitatea clasică. 

allow hosts = 10.0.0.0/255.0.0.0 

Puteţi de asemeni permite un întreg subnet cu excepţii. 

hosts allow = 10. except 10.0.0.12 

21.2.2. hosts deny 


Parametrul hosts deny sau deny hosts este contrapartea logică a celor de mai 
sus. Sintaxa este aceeaşi ca pentru hosts allow. 


hosts deny = 192.168.1.55, 192.168.1.56 
21.3. securitate prin obscuritate 
21.3.1. hide unreadable 


Setînd hide unreadable la yes va preveni utilizatorii să vadă fişiere care nu 
pot fi citite de către ei. 


hide unreadable = yes 
21.3.2. browsable 


Setînd directiva browseable = no va ascunde partajele din My Network Places. 
Dar ea nu va împiedica pe cineva să acceseze partajul (cînd numele partajului 
este cunoscut). 


Notați că şi browsable şi browseable sînt ambele cu sintaxă corectă. 


[pubread] 

path = /srv/samba/readonly 
comment = files to read 
read only = yes 

guest ok = yes 

browseable = no 


21.4. securitate sistem fişier 
21.4.1. create mask 
Puteți folosi create mask şi directory mask pentru a seta permisiunile maxime 


permise pentru noile fişiere şi directoare create. Masca de reţea pe care o 
setați este un AND mask (ia permisiunile). 
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[tennis] 

path = /srv/samba/tennis 
read only = No 

guest ok = No 

create mask = 640 
directory mask = 750 


21.4.2. force create mode 


Similar cu create mask, dar diferit. Dacă mask de mai sus era un logic ŞI, 
modul pe care îl setați aici este un logic SAU (astfel că adaugă permisiuni). 
Puteți folosi force create mode şi force directory mode pentru a seta 
permisiunile minime cerute pentru noile fişiere şi directoare create. 


[tennis] 

path = /srv/samba/tennis 
read only = No 

guest ok = No 

force create mode = 444 
force directory mode = 550 


21.4.3. security mask 


security mask şi directory security mask funcționează în aceeaşi modalitate cu 
create mask şi directory mask, dar se aplică doar cînd un utilizator windows 
schimbă permisiunile folosind căsuţa de dialog windows security. 


21.4.4. force security mode 


force security mode şi force directory security mode lucrează în aceeaşi 
modalitate ca force create mode şi force directory mode, dar se aplică doar cînd 
un utilizator windows schimbă permisiunile folosind căsuţa de dialog windows 
security. 


21.4.5. inherit permissions 


Cu inherit permissions = yes puteți să forțați noile fişiere şi directoare 
create să moştenească permisiunile de la directorul lor părinte, suprascriind 
setările create mask şi directory mask. 


[Lauthwrite] 

path = /srv/samba/authwrite 
comment = authenticated users only 
read only = no 

guest ok = no 

create mask = 600 

directory mask = 555 

inherit permissions = yes 
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21.5. practică: securitate partaje 


1. Creați un partaj cu drepturi de scriere numit sales, şi un partaj cu drepturi 
doar de citire numit budget. Verificaţi dacă funcționează. 


2. Limitaţți accesul la partajul sales la ann, sandra şi veronique. 
3. Asiguraţi-vă că roberto nu poate accesa partajul sales. 


4. Chiar dacă partajul sales are drepturi de scriere, ann ar trebui să aibă doar 
acces de citire. 


5. Chiar dacă partajul budget este cu drepturi doar de citire, sandra ar trebui 
de asemeni să aibă acces cu drepturi de scriere. 


6. Limitaţți un director partajat la subnetul 192.168.1.0/24, şi un alt partaj la 
cele două computere cu adresele ip 192.168.1.33 şi 172.17.18.19. 


7. Asiguraţi-vă că computerul cu ip-ul 192.168.1.203 nu poate accesa partajul 
budget. 


8. Asiguraţi-vă că (pe partajul budget) utilizatorii pot vedea doar fişiere şi 
directoare la care ei au acces. 


9. Asiguraţi-vă că partajul sales nu este vizibil cînd navigăm reţeaua. 


10. Toate fişierele create în partajul sales ar trebui să aibă permisiuni 640 
sau mai puțin. 


11. Toate directoarele create în partajul budget ar trebui să aibă permisiuni 
750 sau mai mult. 


12. Permisiunile pentru fişiere pe partajul sales nu ar trebui niciodată să fie 
setate la mai mult de 664. 


13. Permisiunile pentru fişiere pe partajul budget nu ar trebui niciodată să fie 
setate la mai puțin de 500. 


14. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 
această practică), atunci combinați declarațiile "read only" şi "writable" 
pentru a verifica care dintre ele are prioritate. 


15. Dacă timpul permite atunci combinaţii "read list", "write list", "hosts 
allow" şi "hosts deny". Care dintre acestea au prioritate? 
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21.6. soluție: securitate partaje 


1. Creați un partaj cu drepturi de scriere numit sales, şi un partaj cu drepturi 
doar de citire numit budget. Verificaţi dacă funcționează. 


Vedeţi soluţiile anterioare pentru a face asta .. 

2. Limitaţți accesul la partajul sales la ann, sandra şi veronique. 
valid users = ann, sandra, veronique 

3. Asiguraţi-vă că roberto nu poate accesa partajul sales. 

invalid users = roberto 


4. Chiar dacă partajul sales are drepturi de scriere, ann ar trebui să aibă doar 
acces de citire. 


read list = ann 


5. Chiar dacă partajul budget este cu drepturi doar de citire, sandra ar trebui 
de asemeni să aibă acces cu drepturi de scriere. 


write list = sandra 


6. Limitați un director partajat la subnetul 192.168.1.0/24, şi un alt partaj la 
cele două computere cu adresele ip 192.168.1.33 şi 172.17.18.19. 


hosts allow = 192.168.1. 


hosts allow = 192.168.1.33, 172.17.18.19 


7. Asiguraţi-vă că computerul cu ip-ul 192.168.1.203 nu poate accesa partajul 
budget. 


hosts deny = 192.168.1.203 


8. Asiguraţi-vă că (pe partajul budget) utilizatorii pot vedea doar fişiere şi 
directoare la care ei au acces. 


hide unreadable = yes 
9. Asiguraţi-vă că partajul sales nu este vizibil cînd navigăm reţeaua. 
browsable = no 


10. Toate fişierele create în partajul sales ar trebui să aibă permisiunii 640 
sau mai puțin. 


create mask = 640 


11. Toate directoarele create în partajul budget ar trebui să aibă permisiuni 
750 sau mai mult. 


force directory mode = 750 


12. Permisiunile pentru fişiere pe partajul sales nu ar trebui niciodată să fie 
setate la mai mult de 664. 


security mask = 664 
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13. Permisiunile pentru fişiere pe partajul budget nu ar trebui niciodată să fie 
setate la mai puțin de 500. 


force security directory mask = 500 

14. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenţi să termine 
această practică), atunci combinați declarațiile "read only" şi "writable" 
pentru a verifica care dintre ele are prioritate. 


15. Dacă timpul permite atunci combinaţii "read list", "write list", "hosts 
allow" şi "hosts deny". Care dintre acestea au prioritate? 
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Capitolul 22. domeniu membru samba 


22.1. schimbări în smb.conf 
22.1.1. workgroup 


Opțiunea workgroup în secțiunea [global] ar trebui să fie aceeaşi cu numele 
netbios a domeniului Active Directory. 


workgroup = STARGATE 
22.1.2. security mode 


Autentificarea nu va fi aranjată de samba acum, ci de controlatorii domeniului 
Active Directory, aşa că setăm opțiunea security la domain. 


security = Domain 
22.1.3. uid Linux 


Linux solicită un cont de utilizator pentru fiecare utilizator care accesează 
sistemul lui de fişiere, trebuie să înzestrăm Samba cu un cîmp al uid şi gid pe 
care poate să-l folosească pentru a crea aceste conturi de utilizator. Câmpul 
este determinat cu parametrii idmap uid şi idmap gid. Primul utilizator Active 
Directory pentru a se conecta va primi uid Linux 20000. 


idmap uid = 20000-22000 
idmap gid = 20000-22000 


22.1.4. winbind use default domain 


Parametrul winbind use default domain asigură winbind că operează de asemeni pe 
utilizatori fără o componentă domain în numele lor. 


winbind use default domain = yes 
22.1.5. secțiunea [global] în smb.conf 


Mai jos este secțiunea noastră global nouă în smb.conf. 


[global] 

workgroup = STARGATE 

security = Domain 

server string = Stargate Domain Member Server 
idmap uid = 20000-22000 

idmap gid = 20000-22000 

winbind use default domain = yes 


22.1.6. domeniu în /etc/krb5.conf 


Pentru a ne conecta la un Windows 2003 sp2 (sau mai recent) trebuie să ajustaţți 
domeniul kerberos în /etc/krb5.conf şi să setaţi ambele declarații lookup la 
true. 


[libdefaults] 

default_realm = STARGATE.LOCAL 
dns_lookup_realm = true 
dns_lookup_kdc = true 
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22.1.7. secţiunea [share] în smb.conf 


Nimic special nu este cerut pentru secțiunea share în smb.conf. Țineţi minte că 
nu am creat manual utilizatorii în smbpasswd sau pe Linux (/etc/passwd). Doar 
utilizatorilor Active Directory le este permis accesul. 


[domaindata] 

path = /srv/samba/domaindata 

comment = Active Directory users only 
read only = No 


22.2. alăturare într-un domeniu Active Directory 


în timp ce serverul Samba este oprit, puteţi folosi net rpc join pentru a 
alătura domeniul Active Directory. 


[rooteRHEL52 samba]t service smb stop 


Shutting down SMB services: [ Ok |] 
Shutting down NMB services: [ OK |] 
[rootQRHEL52 samba]t net rpc join -U Administrator 
Password: 


Joined domain STARGATE. 


Putem verifica în ADUC (Active Directory Users and Computers) dacă un cont de 
computer este creat pentru acest server samba. 


4 Active Directory Users and Computers 


<p File action View Window Help 


e » EA] + Bl x BB 9 mila 


hctive Directory Users and Computer Computers 1 objects 


[2-7] Saved Queries 
(2) stargate local 
EH: Ge, Builin 


P- Ea e 
: ForeignSecurityPrincipals 


(2 users 


22.3. winbind 
22.3.1. adăugând winbind la nsswitch.conf 


winbind daemon comunică cu domeniul Active Directory. 
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Trebuie să aducem la zi fişierul /etc/nsswitch.conf acum, aşa încât utilizatorul 
grup şi numele maşinilor să poată fi rezolvat împotriva daemonului winbind. 


[rootQRHEL52 samba]t vi /etc/nsswitch.conf 
[rootQeRHEL52 samba]t grep winbind /etc/nsswitch.conf 


passwd: files winbind 
group: files winbind 
hosts: files dns winbind 


22.3.2. pornire samba şi winbindd 
Este timpul să pornim Samba urmat de winbindd. 


[rootQRHEL4b samba] service smb start 


Starting SMB services: [ OK |] 
Starting NMB services: [ OK |] 
[rootQRHEL4b samba] service winbind start 
Starting winbindd services: [ Ok |] 


[rooteRHEL4b samba]t 
22.4. wbinfo 
22.4.1. verificaţi încrederea 


Puteţi folosi wbinfo -t pentru a verifica încrederea între serverul samba şi 
Active Directory. 


[rootQRHEL52 -]% wbinfo -t 
checking the trust secret via RPC calls succeeded 


22.4.2. listarea tuturor utilizatorilor 


Putem obține o listă a tuturor utilizatorilor cu comanda wbinfo -u. Domeniul nu 
este arătat cînd este setat parametrul winbind use default domain. 


[rootQRHEL52 -]4 wbinfo -u 
TEACHEROserena 
TEACHEROLjustine 
TEACHEROmartina 

STARGATE administrator 
STARGATENguest 

STARGATE support_388945a0 
STARGATENpol 

STARGATE krbtgt 

STARGATE arthur 

STARGATE harry 


22.4.3. listarea tuturor grupurilor 


Putem obține o listă a tuturor grupurilor domeniu cu comanda wbinfo -g. Domeniul 
nu este arătat cînd parametrul winbind use default domain este setat. 
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[rootQRHEL52 -]+ wbinfo -g 
BUILTINladministrators 
BUILTINNusers 
BATMANIdomain computers 
BATMANIdomain controllers 
BATMANischema admins 
BATMANNenterprise admins 
BATMANIdomain admins 
BATMANIdomain users 
BATMANNdomain guests 
BATMANIgroup policy creator owners 
BATMAN dnsupdateproxy 


22.4.4. interogarea unui utilizator 


Putem folosi wbinfo -a pentru a verifica autentificarea unui utilizator 
împotriva Active Directory. Presupunînd că un cont utilizator harry cu parola 
stargate este creat pe Active Directory, obținem următoarea captură de ecran. 


[rootQRHEL52 -]+ wbinfo -a harry%stargate 
plaintext password authentication succeeded 
challenge/response password authentication succeeded 


22.5. getent 


Putem folosi getent pentru a verifica dacă winbindd funcționează şi în realitate 
adaugă utilizatori Active Directory în /etc/passwd. 


[rootQRHEL52 -]+ getent passwd harry 
harry:x*:20000:20008:harry potter:/home/BATMAN/harry: /bin/false 
[rootQRHEL52 -]+ getent passwd arthur 
arthur:x:20001:20008:arthur dent: /home/BATMAN/arthur: /bin/false 
[rootQeRHEL52 -]+ getent passwd bilbo 
bi lbo:x*:20002:20008:bilbo baggins: /home/BATMAN/bi lbo: /bin/false 


Dacă utilizatorul deja există local, atunci contul de utilizator local este 
afişat. Asta pentru că winbind este configurat în /etc/nsswitch.conf după files. 


[rootQRHEL52 -]t getent passwd paul 
paul:x:500:500:Paul Cobbaut: /home/paul: /bin/bash 


Toţi utilizatorii Active Directory pot acum să se conecteze uşor la partajul 
Samba. Fişierele create de ei, aparțin lor. 


22.6. proprietar fişier 


[rootQRHEL4b samba]t Il /srv/samba/domaindata/ 

total 0 

-rwxr--r-- 1 justine 20000 0 Jun 22 19:54 create_by_justine_on_winxp.txt 
-rwxr--r-- 1 venus 20000 0 Jun 22 19:55 create_by_venus.txt 

-rwxr--r-- 1 maria 20000 0 Jun 22 19:57 Maria.txt 
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22.7. practică: domeniu membru samba 
1. Verficaţi dacă aveţi un domeniu Active Directory (AD) care funcționează. 


2. Adăugați numele domeniului şi controlatorul domeniului în /etc/hosts. Setaţi 
AD-DNS în /etc/resolv.conf. 


3, Setați Samba ca un membru server în domeniu. 
4. Verificaţi crearea unui cont de computer în AD pentru serverul Samba. 


5. Verificaţi crearea automatică a utilizatorilor AD în /etc/passwd cu wbinfo şi 
getent. 


6. Conectați partajele Samba cu utilizatorii AD, şi verificați proprietarea 
fişierelor lor. 
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Capitolul 23. controlator domeniu samba 
23.1. despre controlatori domeniu 
23.1.1. Windows NT4 


Windows NT4 funcţionează cu controlatori de domeniu single master replication. 
Există exact un singur PDC (Primary Domain Controller) în domeniu, şi zero sau 
mai mulți BDC (Backup Domain Controllers). Samba 3 are toate avantajele găsite 
în Windows NT4 PDC şi BDC, şi mai mult. Asta include serviciul de fişier şi 
imprimantă, controlul domeniului cu un logon singular, scripturi Llogon, 
directoare home şi profile roaming. 


23.1.2. Windows 200x 


Cu Windows 2000 s-a introdus Active Directory. AD include politici replicare 
multimaster şi politici grup. Samba 3 poate să fie doar un server membru în 
Active Directory, ea nu poate să facă managementul politicilor grup. Samba 4 
poate face asta (în beta). 


23.1.3. Samba 3 


Samba 3 poate acționa ca un controlator domeniu în propriul lui domeniu. într-un 
domeniu Windows NT4, cu un singur Windows NT4 PDC şi zero sau mai multe BDC-uri, 
Samba 3 poate să fie doar un server membru. Acelaşi lucru este valid pentru 
Samba 3 într-un Domeniu Active Directory. Pe scurt, un controlator de domeniu 
Samba 3 nu poate partaja controlul domeniului cu controlatori domeniu Windows. 


23.1.4. Samba 4 

Samba 4 poate fi un controlator domeniu într-un domeniu Active Directory, 
incluzînd politici de management de grup. Cînd scriu aceste rînduri, Samba 4 nu 
este disponibilă pentru producție! 

23.2. despre moduri securitate 

23.2.1. security = share 

Modalitatea de funcționare a 'Windows for Workgroups! sînt cereri client care 
cer o conexiune partaj şi dau o parolă pentru acea conexiune. Oricine cunoaşte o 
parolă pentru un partaj poate accesa acel partaj. Acest model de securitate a 
fost comun în Windows 3.11, Windows 95, Windows 98 şi Windows ME. 

23.2.2. security = user 

Clientul va trimite un userid + parolă înainte ca serverul să cunoască care 
partaj vrea să acceseze clientul. Această modalitate ar trebui folosită oricând 
serverul samba deține controlul bazei de date utilizator. Ambele modalități 
pentru controlatorii samba standalone şi samba domeniu. 

23.2.3. security = domain 

Această modalitate va permite samba să verifice acreditările utilizator folosind 
NTLM în Windows NT4 şi în toate domeniile Active Directory. Asta este similar cu 
Windows NT4 BDC care se alătură unui domeniu nativ Windows 2000/3 Active 
Directory. 

23.2.4. security = ads 

Această modalitate va face ca samba să folosească Kerberos ca să se conecteze la 


domeniul Active Directory. 
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23.2.5. security = server 


Această modalitate este învechită, poate fi folosită pentru a înainta autenti- 
ficarea la un alt server. 


23.3. despre password backends 

Capitolele anterioare au folosit toate baza de date utilizator smbpasswd. Pentru 
controlul domeniului optăm pentru parolă backend tdbsam. 0 altă opţiune ar fi să 
folosim LDAP. Domenii largi vor beneficia utilizînd LDAP în locul nu atît de 
escaladabil tdbsam. Cînd aveți nevoie de mai mult de un singur Controlator de 
Domeniu, atunci echipa Samba vă sfătuieşte să nu utilizați tdbsam. 

23.4. secţiune [global] în smb.conf 

Acum este un moment bun să începem să adăugăm comentarii în smb.conf. Mai întîi 
vom arunca o privire la numele domeniului nostru şi serverului în secțiunea 
[global], şi la parametrii de control domeniu. 

23.4.1. security 

security trebuie setat la utilizator (care este default-ul). Această modalitate 


va face samba să controleze conturile de utilizator, astfel îi va permite samba 
să acționeze ca un controlator domeniu. 


security = user 
23.4.2. os level 
Un server samba este cel mai stabil computer în rețea, astfel că ar trebui să 


cîştige toate alegerile browser (os level mai sus de 32) pentru a deveni browser 
master. 


os level = 33 
23.4.3. passdb backend 


Parametrul passdb backend va determina dacă samba foloseşte smbpasswd, tdbsam 
sau ldap. 


passdb backend = tdbsam 
23.4.4. preferred master 


Setînd parametrul preferred master la yes va face ca daemonul nmbd să forțeze o 
alegere la startup. 


preferred master = yes 
23.4.5. domain logons 


Setînd parametrul domain logons va face acest server samba un controlator 
domeniu. 


domain logons = yes 
23.4.6. domain master 
Setînd parametrul domain master poate face ca samba să ceară rolul domain master 


browser pentru workgroup-ul lui. Nu folosiți acest parametru într-un workgroup 
cu un NT4 PDC activ. 
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domain master = yes 
23.4.7. secțiunea [global] 


Screenshot-ul de mai jos arată un exemplu de secțiune [global] pentru un 
controlator domeniu samba. 


[global] 

+ names 

workgroup = SPORTS 

netbios name = DCSPORTS 
server string = Sports Domain Controller 
domain control parameters 
security = user 

os level = 33 

preferred master = Yes 
domain master = Yes 

domain logons = Yes 


23.5. partaj netlogon 


O parte a definiției Microsoft pentru un controlator domeniu este aceea că ar 
trebui să aibă un partaj netlogon. Aceasta este partea relevantă a smb.conf 
pentru a crea acest partaj netlogon pe Samba. 


[netlogon] 

comment = Network Logon Service 
path = /srv/samba/netlogon 
admin users = root 

guest ok = Yes 

browseable = No 


23.6. alte secţiuni [share] 


Am creat unele secțiuni pentru partaje de fişiere, pentru a testa serverul 
samba. Toţi utilizatorii pot accesa partajul general de fişier sports, dar numai 
membrii grup pot accesa propriul lor partaj sports. 


[sports] 

comment = Information about all sports 
path = /srv/samba/sports 

valid users = entsports 

read only = No 


[tennis] 

comment = Information about tennis 
path = /srv/samba/tennis 

valid users = Enttennis 

read only = No 


[football] 

comment = Information about football 
path = /srv/samba/football 

valid users = entfootball 

read only = No 
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23.7. utilizatori şi grupuri 


Pentru a putea folosi utilizatori şi grupuri în controlatorul domeniu samba, 
putem mai întîi seta unele grupuri pe computerul Linux. 


[rooteRHEL52 samba]t groupadd ntadmins 
[rooteRHEL52 samba]t groupadd ntsports 
[rooteRHEL52 samba]t groupadd ntfootball 
[rooteRHEL52 samba]t groupadd nttennis 


Asta ne permite să adăugăm informații despre membrii grup unor noi utilizatori 
pentru domeniul nostru samba. Nu uitaţi să le dați o parolă. 


[rootQRHEL52 samba] useradd -m -G ntadmins Administrator 
[rooteRHEL52 samba]t useradd -m -G ntsports,nttennis venus 
[rooteRHEL52 samba]t useradd -m -G ntsports,nttennis kim 
[rooteRHEL52 samba]t useradd -m -G ntsports,nttennis jelena 
[rootQRHEL52 samba]t useradd -m -G ntsports,ntfootball figo 
[rooteRHEL52 samba]t useradd -m -G ntsports,ntfootball ronaldo 
[rooteRHEL52 samba]t useradd -m -G ntsports,ntfootball pfaff 


Este întotdeauna sigur să verificănm crearea utilizatorilor, grupurilor şi 
parolelor în /etc/passwd, /etc/shadow şi /etc/group. 


[rooteRHEL52 samba]t tail -11 /etc/group 
ntadmins:x:507:Administrator 
ntsports:x:508:venus,kim,jelena,figo,ronaldo,pfaff 
ntfootball:x:509:figo,ronaldo,pfaff 
nttennis:x:510:venus,kim,jelena 
Administrator:x:511: 

venus:x:512: 

kim:x:513: 

jelena:x:514: 

figo:x:515: 

ronaldo:x:516: 

pfaff:x:517: 


23.8. tdbsam 


Apoi trebuie să facem aceşti utilizatori cunoscuți samba cu utilitarul 
smbpasswd. Cînd adăugați primul utilizator la tdbsam, va fi creat fişierul 
/etc/samba/passdb. tdb. 


[rootQRHEL52 samba] smbpasswd -a root 

New SMB password: 

Retype new SMB password: 

tdbsam_open: Converting version 0 database to version 3. 
Added user root. 


Adăugînd pe toți ceilalți utilizatori generează mai puține ieşiri, pentru că 
tdbsam este deja creat. 


[rootQRHEL4b samba] smbpasswd -a root 
New SMB password: 

Retype new SMB password: 

Added user root. 
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23.9. despre conturi computer 


Fiecare computer NT (Windows NT, 2000, XP, Vista) poate deveni un membru al unui 
domeniu. Alăturînd domeniul (click dreapta pe My Computer) înseamnă că un cont 
de computer va fi creat în domeniu. Acest cont de computer are de asemeni o 
parolă (dar nu puteţi s-o ştiţi) pentru a preveni alte computere cu acelaşi nume 
ca nu cumva accidental să devină membru al domeniului. Contul computer creat de 
Samba este vizibil în fişierul /etc/passwd pe Linux. Conturile de computer apar 
ca un cont de utilizator normal, dar termină numele lor cu semnul dolar. Mai 

jos este un screenshot a unui cont de computer Windows 2003, creat de Samba 3. 


[rooteRHEL52 samba]t tail -5 /etc/passwd 
jelena:x:510:514::/home/jelena: /bin/bash 
figo:x:511:515::/home/figo: /bin/bash 
ronaldo:x:512:516::/home/ronaldo: /bin/bash 
pfaff:x:513:517::/home/pfaff:/bin/bash 
w2003eeș:x:514:518:: /home/nobody: /bin/false 


Pentru a putea crea contul, trebuie să dați acreditările unui cont cu 
permisiunea de a crea conturi (prin default doar root poate face asta pe Linux). 
Şi va trebui să-i spunem Samba cum să facă asta, adăugând un add machine script 
în secțiunea [global] a smb.conf. 


add machine script = /usr/sbin/useradd -s /bin/false -d /home/nobody %u 


Acum puteți alătura un computer Microsoft la domeniul sports (cu utilizatorul 
root). După restartarea computerului Microsoft, veţi fi capabili să intrați cu 
(userul) Administrator (parolă Stargate), dar veți primi o eroare despre 
profilul roaming. Vom fixa asta în secțiunea următoare. 


Cînd alăturați domeniul samba, trebuie să introduceți acreditările unui cont 
Linux care poate crea utilizatori (de obicei doar root poate face asta). Dacă 
computerul Microsoft se plînge cu The parameter is incorrect, atunci în mod 
posibil ați uitat să adăugaţi add machine script. 


23.10. profile locale sau roaming 
E bine de ştiut, dacă vreţi să forțați profilele locale în loc de profilele 


roaming, să adăugați atunci următoarele două linii în secțiunea global în 
smb. conf. 


logon home = 
logon path 


Computerele Microsoft stochează foarte multe metadate utilizator şi date de 
aplicaţii într-un profil utilizator. Făcând acest profil disponibil pe reţea va 
da voie utilizatorilor să-şi păstreze setările desktop şi aplicațiile între 
computere. Profilele utilizatorilor pe reţea sînt numite roaming profiles sau 
roving profiles. Controlatorul de domeniu Samba poate face managementul acestor 
profile. Mai întîi trebuie să adăugăm secțiunea relevantă în smb.conf. 


[Profiles] 

comment = User Profiles 
path = /srv/samba/profiles 
readonly = No 

profile acls = Yes 


în afară de secțiunea partaj, trebuie de asemeni să setăm locația profilurilor 
partaj (asta poate fi un alt server Samba) în secțiunea global. 
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logon path = |W%LYProfilesi%U 


Variabila %L este numele acestui server Samba, variabila %U face translația la 
numele de utilizator. După ce adăugăm un utilizator la smbpasswd şi lăsăm ca 
utilizatorul să intre şi să iasă din sistem, profilul utilizatorului va arăta 
astfel. 


[rooteRHEL4b samba]t Il /srv/samba/profiles/Venus/ 
total 568 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 
drwxr-xr-x 


Venus Venus 4096 Jul 
Venus Venus 4096 Jul 
Venus Venus 4096 Jul 
Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 


4 10:03 Application Data 
2 
3 
3 
4 
2 
-rwxr--r-- 1 Venus Venus 524288 Jul 
1 
1 
2 
2 
2 
3 
2 


10:03 Cookies 
10:03 Desktop 
10:03 Favorites 
10:03 My Documents 
10:03 NetHood 

2007 NTUSER.DAT 
2007 NTUSER.DAT.LOG 
10:03 ntuser.ini 
10:03 PrintHood 
10:03 Recent 

10:03 SendTo 

10:03 Start Menu 
10:03 Templates 


-rwxr-==r== Venus Venus 1024 Jul 
-rw-r--r-- Venus Venus 268 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 
drwxr-xr-x Venus Venus 4096 Jul 


O UUUUUUUUUUUNU UI 


23.11. grupuri în NTFS acls 
Avem utilizatori pe Unix, avem grupuri pe Unix care conțin aceşti utilizatori. 
[rooteRHEL4b samba]t grep nt /etc/group 


ntadmins:x:506:Administrator 
ntsports:x:507:Venus,Serena,Kim,Figo,Pfaff 
nttennis:x:508:Venus,Serena,Kim 
ntfootball:x:509:Figo,Pfaff 

[rootQRHEL4b samba] 


Am adăugat deja Venus la tdbsam cu smbpasswd. 


smbpasswd -a Venus 


Asta înseamnă că Venus poate accesa partajele tennis şi sports? Da, toate 
accesările funcționează bine pe serverul Samba. Dar grupul nttennis nu este 
disponibil pe maşinile Windows. Pentru a face grupurile disponibile pe Windows 
(ca în tab-ul ntfs security asupra fişierelor şi directoarelor), trebuie să 
mapăm grupurile Unix la grupurile Windows. Pentru a face asta, folosim comanda 
net groupmap. 
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[rooteRHEL4b samba]t net groupmap add ntgroup="tennis" unixgroup=nttennis type=d 
No rid or sid specified, choosing algorithmic mapping 
Successully added group tennis to the mapping db 


[rooteRHEL4b samba]t net groupmap add ntgroup="football" unixgroup=ntfootball 
type=d 

No rid or sid specified, choosing algorithmic mapping 

Successully added group football to the mapping db 


[rooteRHEL4b samba]t net groupmap add ntgroup="sports" unixgroup=ntsports type=d 
No rid or sid specified, choosing algorithmic mapping 

Successully added group sports to the mapping db 

[rootQRHEL4b samba] 


Acum puteți folosi grupurile Samba pe toate volumele NTFS pe membrii domeniului. 
23.12. script-uri logon 


înainte de a testa un script logon, asigurați-vă că are încărcătura circuit 
invers corectă pe care fişierele DOS le au. 


[rootQeRHEL4b netlogon]t cat start.bat 

net use Z: |IDCSPORTSOISPORTS 

[rooteRHEL4b netlogon]t unix2dos start.bat 

unix2dos: converting file start.bat to DOS format ... 
[rootQeRHEL4b netlogon]t 


Apoi copiaţi scripturile la partajul netlogon, şi adăugaţi următorul parametru 
la smb.conf. 


logon script = start.bat 
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23.13. practică: controlator domeniu samba 
1. Setați Samba ca un controlator domeniu. 


2. Creați partajele salesdata, salespresentations şi meetings. salesdata trebuie 
să fie accesibil tuturor vînzătorilor şi tuturor managerilor. salespresentations 
este doar pentru toți vînzătorii. meetings este accesibil doar tuturor 
managerilor. Folosiţi grupuri pentru a îndeplini asta. 


3. Alăturaţi un computer Microsoft la domeniu. Verificaţi crearea unui cont 
computer în /etc/passwd. 


4. Setați şi verificați funcționarea corespunzătoare a profilelor roaming. 


5. Găsiți informații despre directoarele home pentru utilizatori, setați-le şi 
verificați ca utilizatorii să primească directoarele lor home mapate sub disk-ul 
H: în MS Windows Explorer. 


6. Folosiţi două domenii grup samba cu membri pentru a seta acl pe ntfs. 
Verificaţi dacă funcționează! 


7. Ştiind că variabila %m conține numele de computer, creați un fişier-jurnal 
separat pentru fiecare computer (cont). 


8. Ştiind că %s conține sistemul de operare a maşinii care efectuează cererea, 
includeți un fişier smb.%s.conf care conține un partaj. (Partajul va fi doar 
vizibil maşinilor care efectuează cererea cu acel sistem de operare). 


9. Dacă timpul permite (sau dacă aşteptaţi ca ceilalți studenți să termine 
această practică), atunci combinaţți "valid users" şi "invalid users" cu grupuri 
şi nume de utilizator cu "hosts allow" şi "hosts deny" şi faceți un tabel cu 
cine primeşte prioritate asupra celorlalți. 
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Capitolul 24. o scurtă privire la samba 4 
24.1. samba 4 alpha 6 


O scurtă privire la samba 4 alpha 6 (ianuarie 2009). Puteţi de asemeni urma 
acest ghid http://miki.samba.org/index.php/Samba4/HOWTO 


Ştergeți vechea samba din Red Hat. 

yum remove samba 

Setați o adresă cu ip fix (Red Hat are un GUI uşor). 
Downloadaţi şi extrageţi 


samba.org, click 'download info', alegeţi oglinda, download samba4 cea mai 
recentă alpha 


Odată extrasă cu untar, intrați în director şi citiți howto4.txt. 
cd samba-4.0.0alpha6/ 

more howto4.txt 

Mai întîi trebuie să configurăm, să compilăm şi să instalăm samba4. 
cd source4/ 

„/configure 

make 


make install 


Apoi putem folosi scriptul dat pentru a seta domeniul. Am utilizat booi.schot ca 
nume de domeniu (în loc de example.com). 


„/setup/provision --realm=BO0I.SCHOT --domain=BO0I --adminpass=stargate 
--server-role="'domain controller! 


Am adăugat un partaj simplu pentru testare: 


vi /usr/local/samba/etc/smb. conf 
Apoi am pornit samba: 

cd /usr/local/samba/sbin/ 

. /samba 

Am testat cu smbclient, funcționează: 


smbclient //localhost/test -Uadministratorăstargate 


Am verificat dacă bind (şi bind-chroot) au fost instalate (da), aşa că am copiat 
înregistrările srv: 


cp booi.schot.zone /var/named/chroot/etc/ 
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Apoi am adăugat la named.conțf: 
cat named.conf >> /var/named/chroot/etc/named. conf 


Am urmat aceşti paşi din howto4.txt. 


vi /etc/init.d/named [added two export lines right after start()] 
chmod a+r /usr/local/samba/private/dns.keytab 

cp krb5.conf /etc/ 

vi /var/named/chroot/etc/named.conf 

--> remove a lot, but keep allow-update 1 any; ); 


Am restartat bind (named!), apoi am testat dns cu dig, asta funcționează 
(captură de ecran trunchiată!). 


[rooteRHEL52 private]t dig _ldap._tcp.dc._msdces.booi.schot SRV localhost 


; (1 server found) 

;; global options: printcmd 

;; Got answer: 

;; —HEADER- opcode: QUERY, status: NXDOMAIN, id: 58186 

;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 


;3 QUESTION SECTION: 
;_ldap._tcp.dc._msdcs.booi.schot. IN SRV 


;; AUTHORITY SECTION: 
10800 IN SOA A.ROOT-SERVERS.NET... 


;;Query time: 54 msec 
;; SERVER: 127.0.0.1453(127.0.0.1) 
; ;WHEN: Tue Jan 27 20:57:05 2009 
;;MSG SIZE rcvd: 124 


[rootQeRHEL52 private]t 


Ne-am asigurat că /etc/resolv.conf ţinteşte către el însuşi. 


[rooteRHEL52 private]t cat /etc/resolv.conf 
search booi.schot 
nameserver 127.0.0.1 


Am pornit Windows 2003 server, am introdus samba4 ca DNS! 


Am făcut ping domeniului, dacă nu funcționează, atunci adăugaţi hostname-urile 
redhat la domeniu în windows/system32/drivers/etc/hosts. 


Am unit computerul Windows la domeniu. 

Am restartat Windows. 

Am intrat în computer ca administrator stargate. 

Am pornit dsa.msc pentru a face managementul samba4. 


Am creat un 0U, un utilizator GPO, testați dacă funcționează. 
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Capitolul 25. introducere la ipv6 

25.1. despre ipv6 

Protocolul ipv6 este proiectat pentru a înlocui îpv4. Unde versiunea ip 4 
suportă un maximum de patru miliarde de adrese unice, ip versiunea 6 măreşte 
acestea la patru miliarde ori patru miliarde ori patru miliarde ori patru 
miliarde de adrese unice. Asta este mai mult decît 100.000.000.000.000.000.000 
de adrese ipv6 pe centimetru pătrat pe planeta noastră. Asta ar trebui să fie 
îndeajuns, chiar dacă fiecare telefon celular, fiecare automat de cafea şi 
fiecare pereche de şosete iau o adresă. 

Din punct de vedere tehnic vorbind ipv6 foloseşte adrese 128-bit (în loc de 32- 


bit în comparație cu ipv4). Adresele cu 128-bit sînt numere imense. în decimale 
ar însemna 39 de cifre, în hexadecimale arată astfel: 


fe80:0000:0000:0000:0a00:27ff: fe8e:8aa8 


Din fericire ipv6 ne permite să omitem zerourile din față. Adresa noastră de mai 
sus devine atunci: 


fe80:0:0:0:a00:27ff:fe8e:8aa8 

Cînd un bloc de 16-bit este zero, el poate fi scris ca ::. Blocurile consecutive 
de 16-bit care reprezintă zero de asemeni pot fi scrise ca ::. Astfel adresa 
noastră de mai sus poate fi prescurtată la: 


fe80::a00:27ff: fe8e:8aa8 


Aceste :: se pot petrece doar o singură dată! Următoarea adresă ipv6 nu este 
validă: 


fe80::20:2e4f: :39ac 


Adresa ipv6 localhost este 0000:0000:0000:0000:0000:0000:0000:0001, care poate 
fi abreviată la ::1. 


pauledebian5:-/github/Lt/images$ /sbin/ifconfig lo | grep iînet6 
inet6 addr: ::1/128 Scope:Host 


25.2. network id şi host id 
Una din puţinele similarități dintre ipv4 şi ipv6 este că adresele au o parte 


gazdă şi o parte rețea determinată de un subnet mască de rețea. Folosind notarea 
cidr asta arată astfel: 


fe80::a00:27ff: fese: 8aa8/64 


Adresa de mai sus are 64 de biți pentru id-ul gazdă, în mod teoretic permițînd 4 
miliarde ori patru miliarde de nume de maşini. 


Adresa localhost arată astfel cu cidr: 
::1/128 
25.3. generare parte nume de maşină 


Părțile numelor de maşini a unei adrese ipv6 automatic generată (stateless) 
conține partea adresei numelor de maşini mac: 
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pauledebian5:-$ /sbin/ifconfig | head -3 
eth3 Link encap:Ethernet HWaddr 08:00:27:ab:67:30 
inet addr:192.168.1.29 Bcast:192.168.1.255 Mask:255.255.255.0 


inet6 addr: fe80::a00:27ff:feab:6730/64 Scope:Link 
Unii oameni sînt preocupați de securitate aici.. 
25.4. adresă ipv4 mapată ipv6 
Unele aplicații folosesc adrese ipv4 înglobate într-o adresă ipv6. (Da, va fio 


eră a migrației cu ambele ipv4 şi ipv6 în folosire). Adresa ipv6 atunci arată ca 
aceasta: 


::ffff:192.168.1.42/96 

într-adevăr un mix de caractere decimale şi hexadecimale .. 

25.5. adrese link local 

Adresele ipv6 care încep cu fe8. pot fi utilizate numai pe segmenul local 
(înlocuiți punctul cu un număr hexadecimal). Acesta e motivul pentru care vedeţi 


Scope:Link în adresă în această captură de ecran. Această adresă deserveşte doar 
link-ul local. 


pauledeb503:-$ /sbin/ifconfig | grep inet6 
inet6 addr: fe80::a00:27ff:fe8e:8aa8/64 Scope:Link 
inet6 addr: ::1/128 Scope:Host 


Aceste adrese link local încep toate cu fe8.. 

Fiecare nic activat ipv6 va lua o adresă în acestă rază de acțiune. 

25.6. adrese unice locale 

De-acum învechitele sisteme de adrese site local similare cu razele de acțiune 
private ipv4 sînt înlocuite cu un sistem de adrese ipv6 globale unice locale. 
Asta pentru a preveni duplicatele cînd se unesc rețele în interiorul razelor de 
acțiune site local. 

Toate adresele unice locale încep cu fd... 


25.7. adrese unicast unice global 


De vreme ce ipv6 a fost proiectat să aibă adrese ip multiple per interfaţă, 
adresa ipv6 globală poate fi folosită lîngă adresa link local. 


Aceste adrese unice globale încep toate cu 2... sau 3... ca primi 16 biţi. 
25.8. 6to4 


6to4 este definit în rfc-urile 2893 şi 3056 ca o modalitate posibilă pentru a 
face tranziția între ipv4 şi ipv6 creînd un tunel ipvâ. 


El codează o adresă ipv4 la o adresă ipv6 care începe cu 2002. De exemplu 
192.168.1.42/24 va fi codat ca: 


2002:c0a8:12a:18::1 
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Puteți folosi comanda de mai jos pentru a converti orice adresă ipv4 în această 
rază de acțiune. 


paulubu1010:-$ printf "12002:9%02x%02x:%02xX%02x:%04x: :1|n"' "echo | 
192 .168.1.42/24 tr 07 A LR) RU 
2002 :c0a8:012a:0018::1 


25.9. ISP 


Dacă ați fi aşa de norocoşi să obţineţi o adresă ipvâ de la ofertantul de 
servicii internet [ISP], atunci ea va începe cu 2001:. 


25.10. adrese non rutabile 


Comparabil cu example.com pentru DNS, următoarele raze de acțiune adresă ipv6 
sînt rezervate exemplelor, şi nu sînt rutabile pe internet. 


SFFEIT APE au /32 
2001:0db8::/32 


25.11. ping6 


Folosiţi ping6 pentru a testa conectivitatea între nume de maşini ipv6. Trebuie 
să specificaţi interfața (nu există nici un tabel pentru adresele 'random' 
generate ipv6 link local). 


[rootefedoral4 -]4 ping6 -I etho fe80::a00:27ff:fecd:7ffc 

PING fe80::a00:27ff:fecd: 7ffc(fe80::a00:27ff:fecd:7ffc) from 
fe80::a00:27ff:fe3c:4346 et 

64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seqg=1 ttl=64 time=0.586 ms 
64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seq=2 ttl=64 t'ime=3.95 ms 
64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seq=3 ttl=64 time=1.53 ms 


Mai jos este un ping6 multicast care primeşte răspunsuri de la trei nume de 
maşini ip6 pe aceeaşi rețea. 


[rootefedoral4 -]+ ping6 -I etho ffo2::1 

PING ff02::1(ff02::1) from fe80::a00:27ff:fe3c:4346 etho: 56 data bytes 

64 bytes from fe80::a00:27ff:fe3c:4346: icmp_seq=1 ttl=64 time=0.598 ms 

64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seq=1 ttl=64 time=1.87 ms (DUP!) 

64 bytes from fe80::8e7b:9dff:fed6:dff2: icmp_seq=1l ttl=64 time=535 ms (DUP!) 

64 bytes from fe80::a00:27ff:fe3c:4346: icmp_seq=2 ttl=64 time=0.106 ms 

64 bytes from fe80::8e7b:9dff:fed6:dff2: icmp_seq=2 ttl=64 time=1.79 ms (DUP!) 
64 bytes from fe80::a00:27ff:fecd:7ffc: icmp_seq=2 ttl=64 time=2.48 ms (DUP!) 


25.12. Belgia şi ipv6 


O multitudine de informații despre ipv6 în Belgia poate fi găsită la 
www . ipv6council.be. 


Site-uri ca ipv6.belgium.be, www.bipt.be şi wwmw.bricozone.be sînt activate 
pentru ipv6. De asemeni unele Universități: fundp.ac.be (Namur) şi ulg.ac.be 
(Liege). 


25.13. alte website-uri 


Alte website-uri folositoare pentru testare ipv6 sînt: 


test-1ipv6. com 
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ipv6-test.com 


Vizitînd website-ul ipv6-test.com va verifica dacă aveți o adresă ipv6 valid 
accesibilă. 


Your internet connection is IPv6 capable 


2002:51a5:657d::1 


Telenet 


Address type is 
Gto4 


6to4 mapping to IPv4 address 81.165.101.125 


Your internet connection is IPv4 capable 


81.165.101.125 


d51A5657D.access.telenet.be 


Vizitînd website-ul test-ipv6.com va verifica de asemeni dacă aveți o adresă 
ipv6 valid accesibilă. 


Test your IPv6 connectivity. 


| == 
Share Ri Take Screenshot [_)[x) 


| Summary Tests Run | | Technical Info 


Take Screenshot 


N) Your IPv4 address on the public 


ia (& Grab the whole desktop 
Your IPv6 address on the public 2i— O Grabthecurrentwindow 


Your IPv6 service appears to be: 
(v) World IPv6 day is June 8th, 2011 


Select area to grab 


ponei owser, at this location. [more infol 
Grab after a delay of |0 seconds 


Congratulations! You appear to have both IPv4 and IPv6 Internet working. If a publisher publishes to IPv6, your browser will 
connect using IPv6. Note: Your browser appears to prefer IPv4 over IPv6 when given the choice. This may in the future affect 
the accuracy of sites who guess at your location. 

You appear to be using a public 6to4 gateway; your router may be providing this to you automatically. Such public gateways 
have no service level agreements; you may see performance problems using such. Better would be to get a native IPv6 address 
from your ISP. [more infol 


Your DNS server (possibly run by your ISP) appears to have no access to the IPv6 Internet, or is not configured to use it. This 


may in the future restrict your ability to reach IPv6-only sites. [more infol N 
Your readiness scores 


7/10 for your IPv4 stability and readiness, when publishers offer both IPv4 and IPv6 


7/10 for your IPv6 stability and readiness, when publishers are forced to go IPv6 only 


Click to see test data 
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25.14. 6to4 gateway 


Pentru a accesa doar website-uri ipv4 cînd sînteți pe ipv6 puteţi folosi 
sixxs.net (mai exact http://wmmw.sixxs.net/tools/gateway/) ca gateway. 


De exemplu folosiți http://wmw.slashdot.org.sixxs.org/ în loc de 
http://slashdot.org 


25.15. ping6 şi dns 


Mai jos este un screenshot a unui ping6 din spatele unei conexiuni 6t04. 


2002:51a5:657d::1 2001:41d0:2:67d1::7e57:1 ICMPv6 Echo request 
2001:41d0:2:67d1::7e57:1 2002:51a5:657d::1 ICMPv6 Echo reply 
2002:51a5:657d::1 2001:41d0:2:67d1::7e57:1 ICMPv6 Echo request 
2001:41d0:2:67d1::7e57:1 2002:51a5:657d::1 ICMPv6 Echo reply 


18.16. ipv6 şi tcp/http 


Mai jos este o captură de ecran a unui tcp handshake şi o conexiune http 
deasupra ipv6. 


Source Destination Protocol Info 


18.17. înregistrare ipv6 PTR 


Precum s-a văzut în capitolul DNS, înregistrările ipv6 PTR sînt în domeniul 
ip6.net, şi au 32 generații de domenii child. 


» Frame 46 (132 bytes on wire, 132 bytes captured) 
) Ethernet II, Src: Apple 5d:2e:52 (00:26:bb:5d:2e:52), Dst: Riverdel cf:6a:10 (009:30:b8:cf:6a:10) 
) Internet Protocol, Src: 81.165.101.125 (81.165.101.125), Dst: 195.130.131.4 (195.130.131.4) 
) User Datagram Protocol, Src Port: 34361 (34361), Dst Port: domain (53) 
* Domain Name System (query) 
[Response In: 47] 
Transaction ID: 0xcfe3 
Pb Flags: 0x0100 (Standard query) 
Questions: 1 
Answer RRs: 0 
Authority RRs: 0 
Additional RRs: 0 
x Queries 
P 1.0.0.0.7.5.e.7.0.0.0.0.0.0.0.0.1.d.7.6.2.0.0.0.0.d.1.4.1.0.0.2.ip6.arpa: type PTR, class IN 


25.18. setare 6to4 pe Linux 
Mai jos este un transcript a unei setări 6to4 pe Linux. 


Mulţumiri http://wwmw.anyweb.co.nz/tutorial/v6Linux6to4 şi http:// 
mirrors.bieringer.de/Linux+IPv6-HOWTO/ şi tldp.org! 
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rootâmac:-t ifconfig 

etho Link encap:Ethernet HWaddr 00:26:bb:5d:2e:52 
inet addr:81.165.101.125 Bcast:255,255.255.255 Mask:255,255.248.0 
inet6 addr: fe80::226:bbff:fe5d:2e52/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:5926044 errors:0 dropped:0 overruns:0 frame:0 
TX packets:2985892 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:4274849823 (4.2 GB) TX bytes:237002019 (237.0 MB) 
Interrupt:43 Base address:0x8000 


lo Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 

UP LOOPBACK RUNNING MTU:16436 Metric:1 

RX packets:598 errors:0 dropped:0 overruns:0 frame:0 
TX packets:598 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:61737 (61.7 KB) TX bytes:61737 (61.7 KB) 


rootemac:-t sysctl -w net.ipv6.conf.default. forwarding=1 
net.ipv6.conf.default.forwarding = 1 
rootemac:-t+ ip tunnel add tun6to4 mode sit remote any local 81.165.101.125 
rootemac:-t ip link set dev tunâto4 mtu 1472 up 
rootâmac:-t ip link show dev tun6to4 
10: tun6to4: <NOARP,UP,LOWER_UP> mtu 1472 qdisc noqueue state UNKNOWN 
link/sit 81.165.101.125 brd 0.0.0.0 
rootemac:-t ip -6 addr add dev tun6to4 2002:51a5:657d:0::1/64 
rootemac:-+ ip -6 addr add dev etho 2002:51a5:657d:1::1/64 
rootemac:-+ ip -6 addr add dev etho fdcb:43c1:9c18:1::1/64 
rootemac:-t ifconfig 
etho Link encap:Ethernet HWaddr 00:26:bb:5d:2e:52 
inet addr:81.165.101.125 Bcast:255,255.255.255 Mask:255,255.248.0 
inet6 addr: fe80::226:bbff:fe5d:2e52/64 Scope:Link 
inet6 addr: fdcb:43c1:9c18:1::1/64 Scope:Global 
inet6 addr: 2002:51a5:657d:1::1/64 Scope:Global 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:5927436 errors:0 dropped:0 overruns:0 frame:0 
TX packets:2986025 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:4274948430 (4.2 GB) TX bytes:237014619 (237.0 MB) 
Interrupt:43 Base address:0x8000 


lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:16436 Metric:1 
RX packets:598 errors:0 dropped:0 overruns:0 frame:0 
TX packets:598 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:61737 (61.7 KB) TX bytes:61737 (61.7 KB) 


tun6to4 Link encap:IPv6-in-IPv4 


inet6 addr: ::81.165.101.125/128 Scope:Compat 
inet6 addr: 2002:51a5:657d::1/64 Scope:Global 
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UP RUNNING NOARP MTU:1472 Metric:1 

RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 

RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


rootemac:-t ip -6 route add 2002::/16 dev tun6to4 

rootâmac:-t ip -6 route add ::/0 via ::192.88.99.1 dev tun6to4 metric 1 
rootâmac:-t ip -6 route show 

::/96 via :: dev tunâto4 metric 256 mtu 1472 advmss 1412 hoplimit 0 
2002:51a5:657d::/64 dev tun6to4 proto kernel metric 256 mtu 1472 advmss 1412 
hoplimit 

2002:51a5:657d:1::/64 dev etho proto kernel metric 256 mtu 1500 advmss 1440 
hoplimit 

2002::/16 dev tun6to4 metric 1024 mtu 1472 advmss 1412 hoplimit 0 
fdcb:43c1:9c18:1::/64 dev etho proto kernel metric 256 mtu 1500 advmss 1440 
hoplimit 

fe80::/64 dev etho proto kernel metric 256 mtu 1500 advmss 1440 hoplimit 0 
fe80::/64 dev tunto4 proto kernel metric 256 mtu 1472 advmss 1412 hoplimit 0 


default via ::192.88.99.1 dev tun6to4 metric 1 mtu 1472 advmss 1412 hoplimit 0 


rootemac:-t ping6 ipv6-test.com 
PING ipv6-test.com(ipv6-test.com) 56 data bytes 


64 bytes from ipv6-test.com: icmp_seq=1 ttl=57 time=42.4 ms 
64 bytes from ipv6-test.com: icmp_seq=2 ttl=57 time=43.0 ms 
64 bytes from ipv6-test.com: icmp_seq=3 ttl=57 time=43.5 ms 
64 bytes from ipv6-test.com: icmp_seq=4 ttl=57 time=43.9 ms 
64 bytes from ipv6-test.com: icmp_seq=5 ttl=57 time=45.6 ms 


AC 

--- ipv6-test.com ping statistics --- 

5 packets transmitted, 5 received, 0% packet loss, time 4006ms 
rtt min/avg/max/mdev = 42.485/43.717/45.632/1.091 ms 
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Apendice A. Licenţă (în limba română) 


Licența GNU Pentru Documentaţia Liberă 


Versiunea 1.3, 3 Noiembrie 2008 
Drepturi de autor 2000, 2001, 2002, 2007, 2008 Fundația Soft-ului Liber, Inc. 


Oricui îi este permisă copierea şi distribuirea de copii identice ale acestui 
document, dar fără modificarea lui. 


0. PREAMBUL 


Scopul acestei Licenţe este de a conferi „gratuitate” unui manual, colecţii de 
texte, sau altui document funcţional și folositor, în sensul libertății: de a 
asigura tuturor permisiunea de copiere şi redistribuire, cu sau fără modificări, 
în scopuri comerciale şi necomerciale. Ca scop secundar, această Licenţă rezervă 
autorului şi editorului dreptul de a fi creditați pentru munca lor, atît timp 
cît nu sunt responsabili pentru modificările efectuate de către alţii. 


Acestă Licenţă conferă un fel de „obligaţii”, ceea ce înseamnă că lucrările 
derivate dintr-un document trebuie să fie și ele libere, la rîndul lor. Această 
Licenţă este inspirată de Licenţa Publică Generală GNU, care este o licență 
similară, concepută pentru a acoperi softul liber. 


Am creat această Licenţă pentru a fi de folos manualelor pentru softul liber, 
deoarece un soft liber necesită o documentație liberă: un program trebuie 
însoțit de manuale care oferă aceiaşi libertate de folosire ca şi softul. Acestă 
Licență nu este limitată, însă, la manualele pentru soft; ea poate fi folosită 
pentru textul oricărei lucrări, indiferent de subiect sau de modul de publicare. 
Această Licenţă este recomandată în principal pentru lucrări care servesc drept 
referință sau au fost scrise în scop de instruire. 


1. APLICABILITATE ŞI DEFINIȚII 


Această Licenţă se aplică oricărei lucrări sau manual, în orice mediu, care 
conține o notă, inclusă de către deținătorul dreptului de autor, care permite 
distribuția în termenii acestei Licenţe. Această notă conferă dreptul universal, 
fără indemnizaţie şi nelimitat ca durată de a folosi lucrarea în condiţiile de 
faţă. Termenul Document, de mai jos, se referă la un astfel de manual sau 
lucrare. Orice membru din public este un beneficiar al acestei Licenţe şi va fi 
desemnat prin termenul dumneavoastră. Se consideră, în mod automat, că aţi 
acceptat termenii acestei Licenţe, în urma copierii, modificării sau 
distribuirii unei lucrări într-un mod care necesită permisiunea autorului, în 
condițiile legii drepturilor de autor. 


O „Versiune Modificată” a Documentului este orice lucrare conținînd Documentul 
sau o porțiune de-a lui, copiată identic sau cu modificări şi/sau tradusă într-o 
altă Limbă. 


O „Secţiune Secundară” este o anexă cu titlu, sau o secțiune menționată în 
cuprins care are ca scop exclusiv descrierea relației editorilor sau a autorilor 
Documentului cu subiectul Documentului (sau cu aspecte conexe) şi care nu 
conține referiri directe la subiectul Documentului. (Astfel, dacă Documentul 
este în parte manual de matematică, o Secţiune Secundară nu poate conține deloc 
explicații matematice.) Poate exista doar o conexiune istorică cu subiectul și 
cu problemele înrudite cu subiectul, ori pot fi prezentate puncte de vedere 
legale, comerciale, filozofice, etice sau politice legate de acesta. 


„secţiunile Neschimbabile” sunt anumite Secţiuni Secundare ale căror titluri 
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sunt specificate ca fiind acele titluri de Secţiuni Neschimbabile din nota ce 
permite distribuția Documentului sub acoperirea acestei Licenţe. Dacă o secțiune 
nu este conformă cu definiția de mai sus a unei Secţiuni Secundare atunci ea nu 
poate fi desemnată ca fiind Neschimbabilă. Documentul poate să nu conțină 
Secţiuni Neschimbabile. Dacă Documentul nu specifică vreo Secţiune Neschimbabilă 
atunci se consideră că nu există nici una. 


„Textele De Copertă” sînt anumite pasaje scurte de text care sînt listate ca 
Texte Pentru Coperta I sau ca Texte Pentru Coperta IV în nota care specifică 
distribuirea Documentului sub acoperirea acestei Licenţe. Un Text Pentru Coperta 
I poate avea cel mult 5 cuvinte, iar un Text Pentru Coperta IV poate avea cel 
mult 25 de cuvinte. 


O copie „Transparentă” a Documentului este o copie în format electronic, 
reprezentată într-un format ale cărui specificații sînt disponibile publicului, 
fiind uşor de modificat cu ajutorul unui editor de text generic sau (pentru 
imagini compuse din pixeli) cu un editor grafic generic ori (pentru desene) cu 
un editor larg răspîndit de grafică vectorială, şi care poate fi folosit ca 
intrare în procesoarele de text sau de transformare automată în diverse formate 
adecvate ca intrare pentru procesoarele de text. 0 copie făcută într-un format 
de fişier Transparent dar care, prin prezența sau absența anumitor elemente 
specifice formatului, descurajează sau împiedică modificările ulterioare, nu 
reprezintă o copie Transparentă. Un format de imagine nu este Transparent dacă 
este folosit pentru a reprezenta o cantitate substanțială de text. 0 copie care 
nu este „Transparentă” se numește „Opacă”. 


Exemple de formate compatibile cu copiile Transparente: textul ASCII fără 
marcaje, formatul de intrare Texinfo, formatele de intrare LaTex, SGML şi XML 
folosind un DTD public, HTML simplu şi standard, fişierele PostScript şi PDF 
modificabile. Exemple de formate Transparente pentru imagine: PNG, XCF şi JPG. 
Formatele Opace includ formate de text ce pot fi citite şi editate doar de 
procesoare de text proprietare, SGML şi XML pentru care DTD-ul şi/sau uneltele 
de procesare nu sunt disponibile, HTML generat automat, documentele PostScript 
şi PDF produse de diverse procesoare de text doar în scopul printării/afişării. 


„Pagina de Titlu” înseamnă, pentru o carte tipărită, pagina cu titlul şi 
paginile următoare, necesare pentru a prezenta, lizibil, materialul care trebuie 
tipărit, conform acestei Licenţe, pe Pagina de Titlu. Pentru lucrări care nu au 
o pagină cu titlu propriu-zisă, „Pagina de Titlu” este textul aflat lîngă 
principala apariție a titlului lucrării, precedînd începutul corpului 
Documentului. 


„Editorul” reprezintă orice persoană sau entitate care distribuie copii ale 
documentului pentru public. 


O secțiune „Numită XYZ” este o subunitate a Documentului, al cărei titlu este, 
fie XYZ, fie conține XYZ în paranteze, după textul care traduce XYZ în altă 
limbă. (Aici XYZ înlocuieşte nume specifice ce vor fi menţionate mai jos, ca de 
exemplu „Mulțumiri”, „Dedicaţii”, „Giruri” sau „Istorie”.) Pentru a „Păstra 
Titlul” unei astfel de secțiuni atunci cînd modificaţi Documentul înseamnă că va 
rămîne o secțiune „Numită XYZ”, conform acestei definiţii. 


Documentul poate include Limitări de Responsabilitate ataşate notificării care 
afirmă că această Licenţă se aplică Documentului. Acestea se consideră a fi 
incluse prin referință în această Licenţă, dar numai cu privire la limitările de 
responsabilitate: orice alte implicaţii pe care aceste Limitări de 
Responsabilitate le-ar putea avea sînt nule şi nu au nici un efect asupra 
înțelesului acestei Licenţe. 
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2. COPII IDENTICE 


Puteți copia şi distribui Documentul pe orice mediu, fie comercial sau 
necomercial, atît timp cît această Licență, notificările de drepturi de autor şi 
notificarea de licenţă care spune că această Licenţă se aplică acestui Document, 
sînt reproduse în toate copiile, şi atîta timp cît nu adăugaţi nici un fel de 
altă condiţie în afară de cele prezente în această Licență. Nu aveţi dreptul să 
luați măsuri tehnice de a obstrucţționa sau controla citirea sau recopierea 
copiilor pe care le faceți sau le distribuiți. Aveţi totuşi dreptul să acceptaţi 
compensații în schimbul copiilor. Dacă distribuiți un număr suficient de mare de 
copii, atunci trebuie să respectați şi condițiile din secțiunea 3. 


Aveţi, de asemenea, dreptul să împrumutaţi copii în aceleași condiţii ca cele de 
mai sus, și aveți dreptul să afișați copii. 


3. COPIEREA ÎN CANTITĂȚI MARI 


Dacă publicați copii tipărite (sau copii în medii care folosesc de obicei 
coperţi tipărite) ale Documentului, în număr mai mare de 100 și dacă notificarea 
de licență a Documentului cere Texte de Copertă, trebuie să includeți copiile pe 
coperţi care să conțină, clar și lizibil, toate aceste Texte de Copertă: Textele 
Pentru Coperta I pe coperta I și Texte Pentru Coperta IV pe coperta IV. Ambele 
coperţi trebuie de asemenea să vă identifice în mod clar și lizibil ca editor al 
respectivelor copii. Coperta I trebuie să prezinte titlul în întregime, cu toate 
cuvintele din titlu la fel de vizibile și proeminente. Puteţi adăuga alte 
materiale pe copertă în plus. Copierea cu modificările limitate la coperţi, atît 
timp cît satisfac aceste condiţii, pot fi tratate în toate celelalte aspecte ca 
și copii identice. 


Dacă textele necesare pentru oricare dintre coperţi sînt prea voluminoase pentru 
a încăpea în mod lizibil, trebuie să puneţi primele rînduri (atîtea cît încap în 
mod rezonabil) pe coperta efectivă și să continuaţi cu restul pe pagini 
adiacente. 


Dacă publicați sau distribuiți copii Opace ale Documentului în număr mai mare de 
100, trebuie ori să includeți cîte o copie Transparentă în format electronic 
împreună cu fiecare copie Opacă, ori să specificaţi în sau împreună cu fiecare 
copie Opacă o locaţie din reţeaua electronică la care publicul general care 
folosește rețeaua să aibă acces pentru a descărca, folosind un protocol standard 
public, copii complete, Transparente ale documentului, fără adăugarea oricărui 
material adițional. Dacă folosiți a doua opţiune trebuie să faceți demersuri 
rezonabil de prudente ca atunci cînd începeţi distribuirea copiilor Opace să vă 
asiguraţi că această copie Transparentă va rămîne accesibilă, în acest fel, la 
locaţia respectivă timp de cel puţin un an după distribuţia ultimei copii Opace 
(în mod direct sau prin agenți ori distribuitori) a respectivei ediții pentru 
public. 


Se cere, dar nu în mod necesar, să contactaţi autorii Documentului cu o perioadă 
bună înainte de a distribui orice cantitate mare de copii, pentru a le da ocazia 
să vă pună la dispoziție o versiune actualizată a Documentului. 


4. MODIFICĂRI 


Puteți copia și distribui o Versiune Modificată a Documentului în condițiile 
secţiunilor 2 şi 3 de mai sus, cu condiţia de a acoperi Versiunea Modificată sub 
exact această Licenţă, cu Versiunea Modificată ținînd locul Documentului, astfel 
licenţiind distribuirea și modificările Versiunii Modificate oricui intră în 
posesia unei copii ale acesteia. în plus, trebuie să faceţi următoarele lucruri 
în Versiunea Modificată: 


* A, Folosiţi în Pagina de Titlu (și pe coperţi, dacă există) un titlu diferit 
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de cel al Documentului, și de versiunile sale anterioare (care trebuie, dacă 
există, să fie listate în secţiunea de Istorie a Documentului). Puteţi folosi 
același titlu ca o versiune anterioară dacă editorul original al acelei copii vă 
dă permisiunea. 

* B, Listați pe Pagina de Titlu, ca autori, una sau mai multe dintre persoanele 
sau entitățile responsabile în calitate de autori pentru modificările Versiunii 
Modificate, împreună cu cel puţin cinci dintre autorii principali ai 
Documentului (toți autorii principali, dacă are mai puțin de cinci), în afară de 
cazul că aceștia vă eliberează de această obligație. 

* C. Includeţi pe Pagina de Titlu numele editorului Versiunii Modificate în 
calitate de editor. 

* D, Păstrați toate notificările de drepturi de autor ale Documentului. 

* E. Adăugaţi o notificare de drepturi de autori relevantă pentru modificările 
dumneavoastră adiacent celorlalte notificări de drepturi de autor. 

* F. Includeţi, imediat după notificările de drepturi de autor, o notificare de 
licenţă dînd permisiune publică de a folosi Versiunea Modificată în condiţiile 
acestei Licenţe, sub forma prezentată în Apendicele de mai jos. 

* G, Păstrați în acea notificare de licenţă lista integrală a Secţiunilor 
Neschimbabile și Textele de Copertă necesare, date în notificarea de licenţă a 
Documentului. 

* H. Includeţi o copie nealterată a acestei Licenţe. 

* TI, Păstrați secţiunea Numită „Istorie”, păstraţi-i Titlul și adăugaţi-i un 
element care să indice măcar titlul, anul, noii autori și editorul Versiunii 
Modificate așa cum este dat pe Pagina de Titlu. Dacă nu există o secțiune numită 
„Istorie” în Document, creaţi una în care indicaţi titlul, anul, autorii și 
editorul Documentului așa cum este dat pe Pagina de Titlu al acestuia și apoi 
adăugaţi un element care să descrie Versiunea Modificată așa cum a fost cerut în 
fraza precedentă. 

* JI. Păstraţți locația de reţea, dacă există, dată în Document pentru acces 
public la o copie Transparentă a Documentului, cît și locaţiile de reţea date în 
Document pentru versiunile mai vechi pe care s-a bazat acesta. Acestea pot fi 
incluse în secţiunea numită „Istorie”. Puteți omite locaţia de reţea a unei 
lucrări care a fost publicată cu cel puțin patru ani înainte de Documentul în 
sine, sau dacă editorul original al versiunii la care se referă vă dă 
permisiunea. 

* K. Pentru orice secţiune Numită „Mulţumiri” sau „Dedicaţii” păstraţi Titlul 
secțiunii și păstraţi în secțiunile respective toată substanța și tonul 
mulțumirilor și/sau dedicaţiilor fiecărui contribuitor. 

* L, Păstraţi toate Secţiunile Neschimbabile ale Documentului, nealterate ca 
text și ca titluri. Numerotarea secțiunilor sau echivalentul numerotării nu sînt 
considerate ca făcînd parte din titlurile secțiunilor. 

* M. Ştergeţi orice secțiune Numită „Giruri”. 0 astfel de secțiune nu poate fi 
inclusă în Versiunea Modificată. 

* N. Nu modificaţi titlul nici unei secțiuni existente pentru a fi numită 
„Giruri” sau pentru a intra în conflict cu vreo Secţiune Neschimbabilă. 

* 0, Păstrați toate Limitările de Responsabilitate. 


Dacă Versiunea Modificată include secțiuni noi incluse în titlu sau anexe care 
se califică drept Secţiuni Secundare și nu conțin material copiat din Document, 
aveți dreptul la alegerea dumneavoastră să numiți unele sau toate acestea ca 
fiind Neschimbabile. Pentru a face aceasta, adăugaţi-le titlurile la lista de 
Secţiuni Neschimbabile în notificarea de licență a Versiunii Modificate. Aceste 
titluri trebuie să fie distincte faţă de toate celelalte titluri de secțiune. 
Puteți adăuga o secțiune numită „Giruri” doar dacă aceasta conține numai 
girurile a diverse entităţi asupra Versiunii Modificate — de exemplu recenzii 
sau faptul că textul a fost aprobat de o organizație ca fiind o definiţie 
autoritară a unui standard. 


Puteți adăuga un pasaj de cel mult cinci cuvinte ca Text Pentru Coperta 1 și un 


pasaj de cel mult 25 de cuvinte ca Text Pentru Coperta IV la sfîrșitul Textelor 
De Copertă în Versiunea Modificată. Numai un singur pasaj poate fi adăugat la 
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Textul Pentru Coperta I și unul la Textul Pentru Coperta IV de către (sau prin 
aranjament cu) orice entitate. Dacă Documentul conţine deja texte de copertă 
pentru coperta respectivă, adăugat în prealabil de dumneavoastră sau prin 
aranjament cu aceeași entitate în numele căreia acţionaţi, atunci nu puteți 
adăuga un altul, însă puteţi să-l înlocuiţi pe cel vechi numai cu permisiunea 
explicită a editorului anterior care l-a adăugat pe cel vechi. 


Autorul (autorii) și editorul (editorii) Documentului nu vă dau prin această 
Licență permisiunea de a le folosi numele pentru publicitate sau pentru a 
pretinde sau implica vreo girare a oricărei Versiuni Modificate. 


5. COMBINAREA DOCUMENTELOR 


Puteți combina Documentul cu alte documente acoperite de această Licenţă sub 
termenii definiţi în secțiunea 4 de mai sus pentru versiuni modificate, cu 
condiția să includeți în versiunea combinată toate Secţțiunile Neschimbabile ale 
tuturor documentelor originale, nemodificate, şi să le listați pe toate ca 
Secţiuni Neschimbabile ale versiunii combinate în notificarea de licență, cât și 
să păstraţi toate Limitările de Responsabilitate. 


Versiunea modificată nu trebuie să conțină decât o singură copie a acestei 
Licenţe, iar duplicatele identice ale Secțiunilor Neschimbabile pot fi înlocuite 
cu o singură copie. Dacă există Secţiuni Neschimbabile cu nume identice și 
conținut diferit, schimbaţi-le numele adăugând la sfîrșitul titlului, în 
paranteză, ori numele autorului sau al editorului original al acelei secțiuni 
dacă acesta este cunoscut, ori un număr unic. Faceţi aceleași modificări 
respective titlurilor secțiunilor în lista de Secţiuni Neschimbabile din 
notificarea de licență a versiunii combinate. 


În versiunea combinată trebuie să combinaţi și toate secțiunile numite „Istorie” 
din diversele documente originale, creînd o secțiune unică numită „Istorie”; la 
fel trebuie să combinați și toate secțiunile numite „Mulțumiri” cît și cele 
numite „Dedicaţii”. Trebuie să ștergeți toate secțiunile numite „Giruri”. 


6. COLECŢII DE DOCUMENTE 


Puteți crea o colecţie formată din Document și alte documente acoperite de 
această Licenţă și să înlocuiţi copiile individuale ale acestei Licenţe din 
diversele documente cu o singură copie care să fie inclusă în colecție cu 
condiția să urmați regulile acestei Licenţe pentru copii identice pentru fiecare 
document în toate celelalte privinţe. 


Puteți să extrageți un document dintr-o astfel de colecţie și să-l distribuiți 
individual sub această Licenţă cu condiția de a include o copie a acestei 
Licenţe în documentul extras și să urmaţi condiţiile acestei Licenţe în toate 
celelalte privinţe în legătură cu copiile identice ale acelui document. 


7. AGREGAREA CU LUCRĂRI INDEPENDENTE 


O compilaţie a Documentului sau a unui derivat al său cu orice document sau 
lucrare separată independentă, în sau pe un volum de stocare sau distribuire se 
numește „agregat” dacă drepturile de autor rezultate în urma compilării nu sînt 
folosite pentru a limita drepturile legale ale utilizatorilor compilației mai 
mult decît permit lucrările individuale. Cînd Documentul este inclus într-un 
agregat, această Licenţă nu se aplică celorlalte lucrări din agregat care nu 
sînt ele însele rezultate derivate ale Documentului. 


Dacă cerinţele legate de Textele de Copertă din secțiunea 3 se aplică acestor 
copii ale Documentului, atunci dacă Documentul este mai puţin de jumătate din 
întregul agregat atunci Textele de Copertă ale Documentului pot fi puse pe 

coperţi care să separe Documentul în cadrul agregatului, sau pe un echivalent 
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electronic al acestora, dacă Documentul se prezintă în format electronic. Altfel 
ele trebuie să apară pe coperţile tipărite care îmbracă întreg agregatul. 


8. TRADUCERE 


Traducerea este considerată o formă de modificare, drept care puteți distribui 
traduceri ale Documentului sub cerințele secțiunii 4. Înlocuirea Secţiunilor 
Neschimbabile cu traduceri ale acestora necesită permisiune specială din partea 
celor care deţin drepturile de autor, însă puteți include traduceri ale unora 
dintre sau tuturor Secţiunilor Neschimbabile împreună cu variantele originale 
ale acestora. Puteţi include o traducere a acestei Licenţe cît și toate 
notificările de licență din Document, cât şi Limitările de Responsabilitate 
atîta timp cât includeți și versiunea originală în engleză a acestei Licenţe, 
plus versiunile originale ale respectivelor notificări de licenţă și limitări de 
responsabilitate. În cazul apariţiei oricăror discrepanțe între versiunea 
tradusă și versiunea originală a acestei Licenţe, a vreunei notificări de 
licenţă sau a vreunei limitări de responsabilitate, versiunea originală are 
prioritate. 


Dacă vreo secțiune din Document este Numită „Mulţumiri”, „Dedicaţii” sau 
„Istorie” cerința (din secţiunea 4) de a-i păstra Titlul (secțiunea 1) va 
necesita în mod normal schimbarea titlului în sine. 


9. REZILIERE 


Nu puteţi copia, modifica, sublicenţia sau distribui Documentul decît în 
condițiile specificate explicit în această Licenţă. Orice copiere, modificare 
sau redistribuire a Documentului în vreo altă condiţie este nulă și vă va anula 
în mod automat drepturile conferite de această Licenţă. 


Cu toate acestea, dacă încetaţi orice încălcare a acestei Licenţe, licența din 
partea titularului dreptului de autor este reinstaurată (a) cu titlu provizoriu, 
cu excepția cazului cînd titularul dreptului de autor încetează în mod explicit 
și în cele din urmă licența, și (b) permanent, în cazul în care titularul 
dreptului de autor nu vă anunţă încălcarea, prin mijloace reonabile, în termen 
de 60 de zile de la încetare. 


în plus, licența de la titularul particular al dreptului de autor este repusă 
permanent în cazul în care titularul dreptului de autor vă anunţă de încălcare 
prin mijloace rezonabile, şi este prima dată cînd aţi primit o notificare de 
încălcare a acestei Licenţe (pentru orice lucrare), din partea titularului 
dreptului de autor, și ați încetat încălcarea cu 30 de zile înainte de primirea 
notificării. 


încetarea drepturilor dumneavoastră, în conformitate cu această secțiune, nu 
încetează licențele părților care au primit copii sau drepturi de la 
dumneavoastră sub această Licență. Dacă drepturile dumneavoastră au fost 
terminate și nu s-au repus permanent, primirea unei copii ale aceluiași material 
nu vă dă nici un drept să-l folosiţi. 


10. VERSIUNI VIITOARE ALE ACESTEI LICENȚE 


Fundația Free Software Foundation poate publica, din cînd în cînd, versiuni noi, 
revizuite ale acestei Licenţe GNU pentru Documentaţia liberă. Aceste noi 
versiuni vor păstra spiritul acestei versiuni dar pot diferi în privința 
detaliilor, cu scopul de a se adresa unor noi probleme reale sau potenţiale. A 
se vedea http://wmw.gnu.org/copyleft/. 


Fiecărei versiuni ale acestei Licenţe îi este asociat un număr de versiune 


distinct. Dacă Documentul specifică un anumit număr de versiune „sau orice 
versiune ulterioară” al acestei Licenţe, aveţi de ales între a vă conforma 
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termenilor și condiţiilor ori ale versiunii specificate explicit sau ale 
oricărei variante ulterioare publicate (nu ca variantă preliminară) de către 
Free Software Foundation. Dacă Documentul nu specifică un număr de versiune al 
acestei Licenţe atunci puteţi alege orice versiune publicată (nu ca variantă 
preliminară) de către Free Software Foundation. 


11. RELICENȚIEREA 


„Site-ul de Colaborare Masivă a Multiautorilor” (sau „MMC Site”) înseamnă orice 
server wwm care publică lucrări posibil de a fi supuse drepturilor de autor şi, 
de asemenea, oferă facilități proeminente pentru oricine editează aceste 
lucrări. Un server pubic wiki este un exemplu în care oricine poate edita 
lucrări scrise. Un „Site de Colaborare Masivă a Multiautorilor” (sau „MMC Site”) 
în conținutul său înseamnă o mulțime de lucrări susceptibile de a fi supuse 
licențelor supuse site-ului MMC. 


„CC-BZ-SA” înseamnă licență a Creative Commons Attribution-Share Alike 3.0 
publicată de Corporaţia Creative Commons, o corporație nonprofit cu sediul 
principal la San Francisco, California, şi deasemenea viitoarele variante de 
„obligaţii” a acestei licenţe publicată de aceeaşi organizaţie. 


„Încorporarea” înseamnă publicarea ori republicarea unui Document, în întregime 
sau în parte, ca parte a unui alt document. 


Un MMC este „eligibil pentru reautorizare” dacă este licențiat sub această 
Licenţă, și în cazul în care toate lucrările care au fost publicate mai întîi în 
această Licenţă în altă parte decît acest MMC, și, ulterior, au fost încorporate 
în totalitate sau în parte în MMC, (1) nu a avut texte de copertă sau secțiuni 
invariante, și (2) au fost astfel incluse până la 1 noiembrie 2008. 


Operatorul unui site MMC poate republica un MMC conținut în site sub CC-BY-SA în 


același loc, în orice moment înainte de 1 august 2009, cu condiția ca MMC să fie 
eligibil pentru reautorizare. 
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Apendice B. Licenţă (în limba engleză) 

GNU Free Documentation License 

Version 1.3, 3 November 2008 

Copyright 0 2000, 2001, 2002, 2007, 2008 Free Software Foundation, Inc. 


Everyone is permitted to copy and distribute verbatim copies of this license 
document, but changing it is not allowed. 


0. PREAMBLE 


The purpose of this License is to make a manual, textbook, or other functional 
and useful document "free" in the sense of freedom: to assure everyone the 
effective freedom to copy and redistribute it, with or without modifying it, 
either commercially or noncommercially. Secondarily, this License preserves for 
the author and publisher a way to get credit for their work, while not being 
considered responsible for modifications made by others. 


This License is a kind of "'copyleft", which means that derivative works of the 
document must themselves be free in the same sense. It complements the GNU 
General Public License, which is a copyleft license designed for free software. 


We have designed this License in order to use it for manuals for free software, 
because free software needs free documentation: a free program should come with 
manuals providing the same freedoms that the software does. But this License is 
not limited to software manuals; it can be used for any textual work, regardless 
of subject matter or whether it is published as a printed book. We recommend 
this License principally for works whose purpose is instruction or reference. 


1. APPLICABILITY AND DEFINITIONS 


This License applies to any manual or other work, in any medium, that contains a 
notice placed by the copyright holder saying it can be distributed under the 
terms of this License. Such a notice grants a world-wide, royalty-free license, 
unlimited in duration, to use that work under the conditions stated herein. The 
"Document", below, refers to any such manual or work. Any member of the public 
is a licensee, and is addressed as "you". You accept the license if you copy, 
modify or distribute the work in a way requiring permission under copyright law. 


A "Modified Version" of the Document means any work containing the Document ora 
portion of it, either copied verbatim, or with modifications and/or translated 
into another language. 


A "Secondary Section" is a named appendix or a front-matter section of the 
Document that deals exclusively with the relationship of the publishers or 
authors of the Document to the Document's overall subject (or to related 
matters) and contains nothing that could fall directly within that overall 
subject. (Thus, if the Document is in part a textbook of mathematics, a 
Secondary Section may not explain any mathematics.) The relationship could be a 
matter of historical connection with the subject or with related matters, or of 
legal, commercial, philosophical, ethical or political position regarding them. 


The "Invariant Sections" are certain Secondary Sections whose titles are 
designated, as being those of Invariant Sections, in the notice that says that 
the Document is released under this License. If a section does not fit the above 
definition of Secondary then it is not allowed to be designated as Invariant. 
The Document may contain zero Invariant Sections. If the Document does not 
identify any Invariant Sections then there are none. 
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The "Cover Texts" are certain short passages of text that are listed, as Front- 
Cover Texts or Back-Cover Texts, in the notice that says that the Document is 
released under this License. A Front-Cover Text may be at most 5 words, anda 
Back-Cover Text may be at most 25 words. 


A "Transparent" copy of the Document means a machine-readable copy, represented 
in a format whose specification is available to the general public, that is 
suitable for revising the document straightforwardly with generic text editors 
or (for images composed of pixels) generic paint programs or (for drawings) some 
widely available drawing editor, and that is suitable for input to text 
formatters or for automatic translation to a variety of formats suitable for 
input to text formatters. A copy made in an otherwise Transparent file format 
whose markup, or absence of markup, has been arranged to thwart or discourage 
subsequent modification by readers is not Transparent. An image format is not 
Transparent if used for any substantial amount of text. A copy that is not 
"Transparent" is called "Opaque",. 

Examples of suitable formats for Transparent copies include plain ASCII without 
markup, Texinfo input format, LaTex input format, SGML or XML using a publicly 
available DTD, and standard-conforming simple HTML, PostScript or PDF designed 
for human modification. Examples of transparent image formats include PNG, XCF 
and JPG. Opaque formats include proprietary formats that can be read and edited 
only by proprietary word processors, SGML or XML for which the DTD and/or 
processing tools are not generally available, and the machine-generated HTML, 
PostScript or PDF produced by some word processors for output purposes only. 


The "Title Page" means, for a printed book, the title page itself, plus such 
following pages as are needed to hold, legibly, the material this License 
requires to appear in the title page. For works in formats which do not have any 
title page as such, "Title Page" means the text near the most prominent 
appearance of the work's title, preceding the beginning of the body of the text. 


The "publisher" means any person or entity that distributes copies of 
the Document to the public. 


A section "Entitled XYZ" means a named subunit of the Document whose title 
either is precisely XYZ or contains XYZ in parentheses following text that 
translates XYZ in another language. (Here XYZ stands for a specific section name 
mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or 
"History".) To "Preserve the Title" of such a section when you modify the 
Document means that it remains a section "Entitled XYZ" according to this 
definition. 


The Document may include Warranty Disclaimers next to the notice which states 
that this License applies to the Document. These warranty Disclaimers are 
considered to be included by reference in this License, but only as regards 
disc laiming warranties: any other implication that these warranty Disclaimers 
may have is void and has no effect on the meaning of this License. 


2. VERBATIM COPYING 


You may copy and distribute the Document in any medium, either commercially or 
noncommercially, provided that this License, the copyright notices, and the 
license notice saying this License applies to the Document are reproduced in all 
copies, and that you add no other conditions whatsoever to those of this 
License. You may not use technical measures to obstruct or control the reading 
or further copying of the copies you make or distribute. However, you may accept 
compensation in exchange for copies. If you distribute a large enough number of 
copies you must also follow the conditions in section 3. 


You may also lend copies, under the same conditions stated above, and you may 
publicly display copies. 
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3. COPYING IN QUANTITY 


If you publish printed copies (or copies in media that commonly have printed 
covers) of the Document, numbering more than 100, and the Document's license 
notice requires Cover Texts, you must enclose the copies in covers that carry, 
clearly and legibly, all these Cover Texts: Front-Cover Texts on the front 
cover, and Back-Cover Texts on the back cover. Both covers must also clearly and 
legibly identify you as the publisher of these copies. The front cover must 
present the full title with all words of the title equally prominent and 
visible. You may add other material on the covers in addition. Copying with 
changes limited to the covers, as long as they preserve the title of the 
Document and satisfy these conditions, can be treated as verbatim copying în 
other respects. 


If the required texts for either cover are too voluminous to fit legibly, you 
should put the first ones listed (as many as fit reasonably) on the actual 
cover, and continue the rest onto adjacent pages. 


If you publish or distribute Opaque copies of the Document numbering more than 
100, you must either include a machine-readable Transparent copy along with each 
Opaque copy, or state in or with each Opaque copy a computer-network location 
from which the general network-using public has access to download using public- 
standard network protocols a complete Transparent copy of the Document, free of 
added material. If you use the latter option, you must take reasonably prudent 
steps, when you begin distribution of Opaque copies in quantity, to ensure that 
this Transparent copy will remain thus accessible at the stated location until 
at least one year after the last time you distribute an Opaque copy (directly or 
through your agents or retailers) of that edition to the public. 


It is requested, but not required, that you contact the authors of the Document 
well before redistributing any large number of copies, to give thema chance to 
provide you with an updated version of the Document. 


4. MODIFICATIONS 


You may copy and distribute a Modified Version of the Document under the 
conditions of sections 2 and 3 above, provided that you release the Modified 
Version under precisely this License, with the Modified Version filling the role 
of the Document, thus Licensing distribution and modification of the Modified 
Version to whoever possesses a copy of it. In addition, you must do these things 
in the Modified Version: 


* A, Use in the Title Page (and on the covers, if any) a title distinct from 
that of the Document, and from those of previous versions (which should, if 
there were any, be listed in the History section of the Document). You may use 
the same title as a previous version if the original publisher of that version 
gives permission. 

* B, List on the Title Page, as authors, one or more persons or entities 
responsible for authorship of the modifications in the Modified Version, 
together with at least five of the principal authors of the Document (all of its 
principal authors, if it has fewer than five), unless they release you from this 
requirement. 

* C, State on the Title page the name of the publisher of the Modified Version, 

as the publisher. 

* D. Preserve all the copyright notices of the Document. 

* E. Add an appropriate copyright notice for your modifications adjacent to the 

other copyright notices. 

* F., Include, immediately after the copyright notices, a license notice giving 
the public permission to use the Modified Version under the terms of this 
License, in the form shown in the Addendum below. 
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* G, Preserve in that license notice the full lists of Invariant Sections and 
required Cover Texts given in the Document's license notice. 

* H. Include an unaltered copy of this License. 

* 1. Preserve the section Entitled "History", Preserve its Title, and add to it 
an item stating at least the title, year, new authors, and publisher of the 
Modified Version as given on the Title Page. If there is no section Entitled 
"History" in the Document, create one stating the title, year, authors, and 
publisher of the Document as given on its Title Page, then add an item 
describing the Modified Version as stated in the previous sentence. 

* J. Preserve the network location, if any, given in the Document for public 
access to a Transparent copy of the Document, and likewise the network locations 
given in the Document for previous versions it was based on. These may be placed 
in the "History" section. You may omit a network location for a work that was 
published at least four years before the Document itself, or if the original 
publisher of the version it refers to gives permission. 

* K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the 
Title of the section, and preserve in the section all the substance and tone of 
each of the contributor acknowledgements and/or dedications given therein. 

* L. Preserve all the Invariant Sections of the Document, unaltered in their 
text and in their titles. Section numbers or the equivalent are not considered 
part of the section titles. 

* M,. Delete any section Entitled "Endorsements". Such a section may not be 
included in the Modified Version. 

* N, Do not retitle any existing section to be Entitled "Endorsements" or to 
conflict in title with any Invariant Section. 

* 0. Preserve any Warranty Disclaimers. 


If the Modified Version includes new front-matter sections or appendices that 
qualify as Secondary Sections and contain no material copied from the Document, 
you may at your option designate some or all of these sections as invariant. To 
do this, add their titles to the list of Invariant Sections in the Modified 
Version's license notice. These titles must be distinct from any other section 
tit les. 


You may add a section Entitled "Endorsements", provided it contains nothing but 
endorsements of your Modified Version by various parties-for example, statements 
of peer review or that the text has been approved by an organization as the 
authoritative definition of a standard. 


You may add a passage of up to five words as a Front-Cover Text, and a passage 
of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in 
the Modified Version. Only one passage of Front-Cover Text and one of Back-Cover 
Text may be added by (or through arrangements made by) any one entity. If the 
Document already includes a cover text for the same cover, previously added by 
you or by arrangement made by the same entity you are acting on behalf of, you 
may not add another; but you may replace the old one, on explicit permission 
from the previous publisher that added the old one. 


The author(s) and publisher(s) of the Document do not by this License give 
permission to use their names for publicity for or to assert or imply 
endorsement of any Modified Version. 


5. COMBINING DOCUMENTS 


You may combine the Document with other documents released under this License, 
under the terms defined in section 4 above for modified versions, provided that 
you include in the combination all of the Invariant Sections of all of the 
original documents, unmodified, and list them all as Invariant Sections of your 
combined work in its license notice, and that you preserve all their warranty 
Disclaimers. 
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The combined work need only contain one copy of this License, and multiple 
identical Invariant Sections may be replaced with a single copy. If there are 
multiple Invariant Sections with the same name but different contents, make the 
title of each such section unique by adding at the end of it, in parentheses, 
the name of the original author or publisher of that section if known, or else a 
unique number. Make the same adjustment to the section titles in the list of 
Invariant Sections in the license notice of the combined work. 


In the combination, you must combine any sections Entitled "History" in the 

various original documents, forming one section Entitled "History"; Likewise 
combine any sections Entitled "Acknowledgements", and any sections Entitled 

"Dedications". You must delete all sections Entitled "Endorsements". 


6. COLLECTIONS OF DOCUMENTS 


You may make a collection consisting of the Document and other documents 
released under this License, and replace the individual copies of this License 
in the various documents with a single copy that is included in the collection, 
provided that you follow the rules of this License for verbatim copying of each 
of the documents in all other respects. 


You may extract a single document from such a collection, and distribute it 
individually under this License, provided you insert a copy of this License into 
the extracted document, and follow this License in all other respects regarding 
verbatim copying of that document. 


7. AGGREGATION WITH INDEPENDENT WORKS 


A compilation of the Document or its derivatives with other separate and 
independent documents or works, in or on a volume of a storage or distribution 
medium, is called an "aggregate" if the copyright resulting from the compilation 
is not used to limit the legal rights of the compilation's users beyond what the 
individual works permit. When the Document is included in an aggregate, this 
License does not apply to the other works in the aggregate which are not 
themselves derivative works of the Document. 


If the Cover Text requirement of section 3 is applicable to these copies of the 
Document, then if the Document is less than one half of the entire aggregate, 
the Document's Cover Texts may be placed on covers that bracket the Document 
within the aggregate, or the electronic equivalent of covers if the Document is 
in electronic form. Otherwise they must appear on printed covers that bracket 
the whole aggregate. 


8. TRANSLATION 


Translation is considered a kind of modification, so you may distribute 
translations of the Document under the terms of section 4. Replacing Invariant 
Sections with translations requires special permission from their copyright 
holders, but you may include translations of some or all Invariant Sections in 
addition to the original versions of these Invariant Sections. You may include a 
translation of this License, and all the License notices in the Document, and 
any Warranty Disclaimers, provided that you also include the original English 
version of this License and the original versions of those notices and 
disclaimers. In case of a disagreement between the translation and the original 
version of this License or a notice or disclaimer, the original version will 
prevail. 


If a section in the Document is Entitled "Acknowledgements", "Dedications", or 


"History", the requirement (section 4) to Preserve its Title (section 1) will 
typically require changing the actual title. 
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9. TERMINATION 


You may not copy, modify, sublicense, or distribute the Document except as 
expressly provided under this License. Any attempt otherwise to copy, modify, 
sublicense, or distribute it is void, and will automatically terminate your 
rights under this License. 


However, if you cease all violation of this License, then your License froma 
particular copyright holder is reinstated (a) provisionally, unless and until 
the copyright holder explicitly and finally terminates your license, and (b) 

permanent ly, if the copyright holder fails to notify you of the violation by 

some reasonable means prior to 60 days after the cessation. 


Moreover, your license from a particular copyright holder is reinstated 
permanent ly if the copyright holder notifies you of the violation by some 
reasonable means, this is the first time you have received notice of violation 
of this License (for any work) from that copyright holder, and you cure the 
violation prior to 30 days after your receipt of the notice. 


Termination of your rights under this section does not terminate the licenses of 
parties who have received copies or rights from you under this License. If your 
rights have been terminated and not permanently reinstated, receipt of a copy of 
some or all of the same material does not give you any rights to use it. 


10. FUTURE REVISIONS OF THIS LICENSE 


The Free Software Foundation may publish new, revised versions of the GNU Free 
Documentation License from time to time. Such new versions will be similar in 
spirit to the present version, but may differ in detail to address new problems 
or concerns. See http://wmm.gnu.org/copyleft/. 


Each version of the License is given a distinguishing version number. If the 
Document specifies that a particular numbered version of this License "or any 
later version" applies to it, you have the option of following the terms and 
conditions either of that specified version or of any later version that has 
been published (not as a draft) by the Free Software Foundation. If the Document 
does not specify a version number of this License, you may choose any version 
ever published (not as a draft) by the Free Software Foundation. If the Document 
specifies that a proxy can decide which future versions of this License can be 
used, that proxy's public statement of acceptance of a version permanent ly 
authorizes you to choose that version for the Document. 


11. RELICENSING 


"Massive Multiauthor Collaboration Site" (or "MMC Site") means any World Wide 
Web server that publishes copyrightable works and also provides prominent 
facilities for anybody to edit those works. A public wiki that anybody can edit 
is an example of such a server. A "Massive Multiauthor Collaboration" (or "MMC") 
contained in the site means any set of copyrightable works thus published on the 
MMC site. 


"CC-BY-SA" means the Creative Commons Attribution-Share Alike 3.0 license 
published by Creative Commons Corporation, a not-for-profit corporation with a 
principal place of business in San Francisco, California, as well as future 
copyleft versions of that license published by that same organization. 


"Incorporate" means to publish or republish a Document, in whole or in 
part, as part of another Document. 


An MMC is "eligible for relicensing" if it is licensed under this License, and 
if all works that were first published under this License somewhere other than 
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this MMC, and subsequently incorporated in whole or in part into the MMC, (1) 
had no cover texts or invariant sections, and (2) were thus incorporated prior 
to November 1, 2008. 


The operator of an MMC Site may republish an MMC contained in the site under cCc- 


BY-SA on the same site at any time before August 1, 2009, provided the MMC is 
eligible for relicensing. 
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